Перейти к содержанию

Файлы зашифрованы самым стойким алгоритмом шифрования AES

Татьяна Кравчук

Автор Татьяна Кравчук
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Татьяна Кравчук

Татьяна Кравчук

Опубликовано
Опубликовано

Доброго времени суток.

Вирус зашифровал файлы на домашнем сервере. 

Спасибо.

 

Новая папка.rar Addition.txt FRST.txt Shortcut.txt

 

Сообщение от модератора kmscom
Тема перемещена из раздела Помощь в удалении вирусов

 

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

Этот файл

2024-10-11 04:55 - 2024-10-11 04:55 - 000081920 _____ C:\ProgramData\svchost.exe
заархивируйте с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание архива в личные сообщения (ЛС)

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

по файлам:

HKLM\...\Run: [{AB1F3E47-AEF1-400E-A108-233A046C3A34}] => C:\ProgramData\AnyDesk\svchost.exe [401408 2024-10-11] () [Файл не подписан] <==== ВНИМАНИЕ

файл в автозапуске:

ESET-NOD32 A Variant Of Win64/Agent.IC

Kaspersky Undetected

DrWeb Undetected

https://www.virustotal.com/gui/file/9b5d2ee4c980a2d07c4e811ca00b451795155d39a5832487b57d04575cdaa681?nocache=1

 

2024-10-11 04:55 - 2024-10-11 04:55 - 000081920 _____ C:\ProgramData\svchost.exe

Kaspersky HEUR:Backdoor.MSIL.XWorm.gen

DrWeb BackDoor.BladabindiNET.30

https://www.virustotal.com/gui/file/fa12be5fc1ed92df720ce6c92ea49668cea81c713436de89f4c239d588cd9716?nocache=1

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Эти файлы оба надо удалить вначале

2024-10-11 04:55 - 2024-10-11 04:55 - 000081920 _____ C:\ProgramData\svchost.exe

и

C:\ProgramData\AnyDesk\svchost.exe,

этот (он в автозапуске), и процесс его пробуйте закрыть через диспетчер, если он работает.

 

Потом пробуйте сменить пароль админа.

Возможно будет необходима перезагрузка системы.

Если смена пароля будет успешной, сделайте после этого логи FRST от имени Администратора.

Так же можно использовать Winpe&uVS для сброса пароля Администратора и удаления указанных файлов.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

Выполните скрипт очистки в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

  

Start::
HKLM\...\Run: [{AB1F3E47-AEF1-400E-A108-233A046C3A34}] => C:\ProgramData\AnyDesk\svchost.exe [401408 2024-10-11] () [Файл не подписан] <==== ВНИМАНИЕ
2024-10-12 03:00 - 2024-10-13 21:43 - 068055872 _____ C:\UkLog.dat
2024-10-12 02:21 - 2024-10-12 03:04 - 000003385 _____ C:\readme.txt
2024-10-12 02:21 - 2024-10-12 02:21 - 000000027 _____ C:\ssssa1.txt
2024-10-11 04:55 - 2024-10-11 04:55 - 000081920 _____ C:\ProgramData\svchost.exe
2024-10-11 04:20 - 2024-10-11 04:20 - 000000000 ____D C:\ProgramData\AnyDesk
2024-10-11 04:20 - 2024-10-11 04:20 - 000000000 ____D C:\ProgramData\{E603E1B9-32B2-4E51-B9BD-0F6C471D986B}
2024-10-12 02:21 - 2024-10-12 03:04 - 000003385 _____ C:\readme.txt
2024-10-12 02:21 - 2024-10-12 02:21 - 000000027 _____ C:\ssssa1.txt
2024-10-11 04:09 - 2024-10-11 04:46 - 000064512 _____ () C:\Users\Администратор\AppData\Roaming\svchost.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Денис А
      Все файлы зашифрованы шифровальщиком
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • astraoren
      Зашифровались файлы, расширение .enc
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Lingon
      Файлы зашифрованы с расширением .ant_dec
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • CredoLin
      Шифрование виртуалок и рабочих станций
      Автор CredoLin
      Здравствуйте!
       
      В ночь произошел инцидент, в котором выяснилось, что кто-то смог авторизоваться с помощью учетной записи Kaspersky, подобрать пароль от машин VMWare и зашифровать виртуальные машины, а также содержимое файловых систем.
      Файл с требованиями находится внутри архива.
      Доступ по RDP есть к этим виртуальным машинам есть. Сейчас отключено RDP.
       
      ИИ намекнул, что, возможно, это ALPHV, LockBit или BlackMatter.
       
      Прошу помочь в определении шифровальщика и возможность дешифровки.
       
      зашифрованные файлы.zip FRST.txt Addition.txt
×
×
  • Создать...