d3adcrypt Большинство файлов на компьютере имеют вид *.*.d3ad

[nike_66]

Сегодня после включения компьютера на эклане появилось сообщение с требованием связаться по почте и прислать какойто код и я понял что это вымогатель,  не запустилась 1С когда посмотрел через проводник то большинство файлов на компьютере имеют вид *.*.d3ad . 

Addition.txt FRST.txt Док и треб.rar

[safety]

Эти файлы заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС (личные сообщения)

Цитата

2024-09-27 01:50 - 2024-01-27 23:37 - 000158208 _____ (test) C:\Users\s\Desktop\ss.exe
2024-09-27 01:50 - 2022-03-31 17:27 - 000121856 _____ (ConsoleApp1) C:\Users\s\Desktop\wiper.exe
2024-09-27 01:50 - 2022-03-01 15:30 - 000457984 _____ (www.sordum.org) C:\Users\s\Desktop\dControl.exe

 

[nike_66]

ссылка удалена

 

Изменено 27 сентября пользователем safety
Просим же ссылки на вирусы публиковать только через ЛС. Ссылка в теме доступна не только консультантам.

[safety]

по файлам:

dControl.exe - отключает защиту WinDef

https://www.virustotal.com/gui/file/1ef6c1a4dfdc39b63bfe650ca81ab89510de6c0d3d7c608ac5be80033e559326

ss.exe - возможно троян.

https://www.virustotal.com/gui/file/5d5caa9cdc4e9734851235e7bb000733d6c9f1d12ed9708d005266b868405e2f/detection

тело шифровальщика пока не обнаружено.

 

Пример другого файла шифровальщика *.d3ad

https://www.virustotal.com/gui/file/cf0705a3e4f3690e28184eb019a4940e7291ce5b3d52747ff80b72e90922a89b/detection

описание:

https://id-ransomware.blogspot.com/2022/02/d3adcrypt-ransomware.html

тема с d3ad на bleepingcomputer.com

 

Если систему уже сканировали с помощью cureit или kvrt добавьте пожалуйста здесь логи сканирования. в архиве, без пароля.

 

Изменено 27 сентября пользователем safety

[nike_66]

Систему не сканировали.

[safety]

проверьте, пожалуйста, в карантине установленного антивируса есть добавленные свежие файлы?

[safety]

Возможно, файл ss.exe является шифровальщиком по некоторым признакам. Проверим.

 

Выполните очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы.

 

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\mpcmdrun.exe: [Debugger] C:\WINDOWS\System32\systray.exe
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\d3ad_Help.hta [2024-09-27] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\d3ad_Help.txt [2024-09-27] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-09-27 08:07 - 2024-09-27 10:26 - 000000595 _____ C:\rdpwrap.txt
2024-09-27 07:23 - 2024-09-27 07:23 - 000001057 _____ C:\Users\User\Desktop\d3ad_Help.hta
2024-09-27 07:23 - 2024-09-27 07:23 - 000001057 _____ C:\Users\s\Desktop\d3ad_Help.hta
2024-09-27 07:23 - 2024-09-27 07:23 - 000001057 _____ C:\Users\Public\Desktop\d3ad_Help.hta
2024-09-27 07:23 - 2024-09-27 07:23 - 000000675 _____ C:\Users\User\Desktop\d3ad_Help.txt
2024-09-27 07:23 - 2024-09-27 07:23 - 000000675 _____ C:\Users\s\Desktop\d3ad_Help.txt
2024-09-27 07:23 - 2024-09-27 07:23 - 000000675 _____ C:\Users\Public\Desktop\d3ad_Help.txt
2024-09-27 01:53 - 2024-09-27 01:53 - 000001057 _____ C:\d3ad_Help.hta
2024-09-27 01:53 - 2024-09-27 01:53 - 000000675 _____ C:\d3ad_Help.txt
2024-09-27 01:50 - 2024-01-27 23:37 - 000158208 _____ (test) C:\Users\s\Desktop\ss.exe
2024-09-27 01:50 - 2022-03-31 17:27 - 000121856 _____ (ConsoleApp1) C:\Users\s\Desktop\wiper.exe
2024-09-27 01:50 - 2022-03-01 15:30 - 000457984 _____ (www.sordum.org) C:\Users\s\Desktop\dControl.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено 27 сентября пользователем safety

[nike_66]

Карантина вообще не нашел. Стоял DrWeb и он был просрочен. Я оключал второй диск сейчас подключил и заново провел сканирование.

Отправил сообщение не видел вашего последнего сейчас все сделаю как вы написали.

Изменено 27 сентября пользователем nike_66

[nike_66]

Fixlog.txt

[safety]

Ждем пока уточнения типа шифровальщика. + проверьте ЛС.

Сохраните важные зашифрованные данные по данному типу шифровальщика на отдельный носитель, возможно расшифровка в будущем будет возможной.

Изменено 27 сентября пользователем safety

[safety]

33 минуты назад, Kasperboom сказал:

здравствуйте можете еще раз или мне отправить программу вымогателя. 

Создайте новую тему в данном разделе, добавьте в ваше сообщение все необходимые логи и файлы, согласно правилам.