Перейти к содержанию

Файлы зашифрованы самым стойким алгоритмом шифрования AES

Татьяна Кравчук

От Татьяна Кравчук
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Татьяна Кравчук Новичок

Татьяна Кравчук

Опубликовано
Опубликовано

Доброго времени суток.

Вирус зашифровал файлы на домашнем сервере. 

Спасибо.

 

Новая папка.rar Addition.txt FRST.txt Shortcut.txt

 

Сообщение от модератора kmscom
Тема перемещена из раздела Помощь в удалении вирусов

 

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Этот файл

2024-10-11 04:55 - 2024-10-11 04:55 - 000081920 _____ C:\ProgramData\svchost.exe
заархивируйте с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание архива в личные сообщения (ЛС)

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

по файлам:

HKLM\...\Run: [{AB1F3E47-AEF1-400E-A108-233A046C3A34}] => C:\ProgramData\AnyDesk\svchost.exe [401408 2024-10-11] () [Файл не подписан] <==== ВНИМАНИЕ

файл в автозапуске:

ESET-NOD32 A Variant Of Win64/Agent.IC

Kaspersky Undetected

DrWeb Undetected

https://www.virustotal.com/gui/file/9b5d2ee4c980a2d07c4e811ca00b451795155d39a5832487b57d04575cdaa681?nocache=1

 

2024-10-11 04:55 - 2024-10-11 04:55 - 000081920 _____ C:\ProgramData\svchost.exe

Kaspersky HEUR:Backdoor.MSIL.XWorm.gen

DrWeb BackDoor.BladabindiNET.30

https://www.virustotal.com/gui/file/fa12be5fc1ed92df720ce6c92ea49668cea81c713436de89f4c239d588cd9716?nocache=1

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Эти файлы оба надо удалить вначале

2024-10-11 04:55 - 2024-10-11 04:55 - 000081920 _____ C:\ProgramData\svchost.exe

и

C:\ProgramData\AnyDesk\svchost.exe,

этот (он в автозапуске), и процесс его пробуйте закрыть через диспетчер, если он работает.

 

Потом пробуйте сменить пароль админа.

Возможно будет необходима перезагрузка системы.

Если смена пароля будет успешной, сделайте после этого логи FRST от имени Администратора.

Так же можно использовать Winpe&uVS для сброса пароля Администратора и удаления указанных файлов.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Выполните скрипт очистки в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

  

Start::
HKLM\...\Run: [{AB1F3E47-AEF1-400E-A108-233A046C3A34}] => C:\ProgramData\AnyDesk\svchost.exe [401408 2024-10-11] () [Файл не подписан] <==== ВНИМАНИЕ
2024-10-12 03:00 - 2024-10-13 21:43 - 068055872 _____ C:\UkLog.dat
2024-10-12 02:21 - 2024-10-12 03:04 - 000003385 _____ C:\readme.txt
2024-10-12 02:21 - 2024-10-12 02:21 - 000000027 _____ C:\ssssa1.txt
2024-10-11 04:55 - 2024-10-11 04:55 - 000081920 _____ C:\ProgramData\svchost.exe
2024-10-11 04:20 - 2024-10-11 04:20 - 000000000 ____D C:\ProgramData\AnyDesk
2024-10-11 04:20 - 2024-10-11 04:20 - 000000000 ____D C:\ProgramData\{E603E1B9-32B2-4E51-B9BD-0F6C471D986B}
2024-10-12 02:21 - 2024-10-12 03:04 - 000003385 _____ C:\readme.txt
2024-10-12 02:21 - 2024-10-12 02:21 - 000000027 _____ C:\ssssa1.txt
2024-10-11 04:09 - 2024-10-11 04:46 - 000064512 _____ () C:\Users\Администратор\AppData\Roaming\svchost.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • il1dar
      Help! Поймал вирус aes шифрование/
      От il1dar
      Добрый день!
      Прошу помочь с расшифровкой файлов. Поймал вирус на сервере, сменили пароль пользователя для входа (в систему попал). В системе зашифрованы офисные файлы и базы 1С. 
      Addition.txt FRST.txt readme.txt aes.rar
    • John77
      Шифровальщик AES
      От John77
      Добрый день! Прошу помочь с расшифровкой файлов. 2 мая злоумышленник проник в систему, сменил пароли пользователей, создал пользователя aspnet, на рабочем столе этого пользователя есть папка PowerRun, в ней обнаружен файл app1.exe с трояном HEUR:Trojan-Ransom.MSIL.Agent.gen (сейчас он в карантине). В системе зашифрованы офисные файлы и базы 1С. 
      Addition.txt FRST.txt Files.rar
    • Aidos
      aes шифрование
      От Aidos
      Доброго времени суток! В Общем столкнулись с проблемой зашиврованных файлов aes. Можно ли как то расшифровать эти файлы?
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Задай вопрос Евгению Касперскому!"
    • dnpavluk
      Вирус переименовал расширение в aes
      От dnpavluk
      Добрый вечер!
      Сегодня утром обнаружил, что вирус зашифровал файлы и добавил им новое расширение .aes
      Файлы аутлука удалось восстановить простым удалением нового расширения. Остальные не удается. Зашифровал не только документы Офиса, но и картинки и видео.
      Кто-нибудь может с этим помочь?
      Оставили даже Инструкцию, куда обращаться с деньгами за расшифровкой....
      Instruction.txt
×
×
  • Создать...