Перейти к содержанию

Файлы зашифрованы самым стойким алгоритмом шифрования AES


Рекомендуемые сообщения

Татьяна Кравчук
Опубликовано

Доброго времени суток.

Вирус зашифровал файлы на домашнем сервере. 

Спасибо.

 

Новая папка.rar Addition.txt FRST.txt Shortcut.txt

 

Сообщение от модератора kmscom
Тема перемещена из раздела Помощь в удалении вирусов

 

Опубликовано

Этот файл

2024-10-11 04:55 - 2024-10-11 04:55 - 000081920 _____ C:\ProgramData\svchost.exe
заархивируйте с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание архива в личные сообщения (ЛС)

Опубликовано (изменено)

по файлам:

HKLM\...\Run: [{AB1F3E47-AEF1-400E-A108-233A046C3A34}] => C:\ProgramData\AnyDesk\svchost.exe [401408 2024-10-11] () [Файл не подписан] <==== ВНИМАНИЕ

файл в автозапуске:

ESET-NOD32 A Variant Of Win64/Agent.IC

Kaspersky Undetected

DrWeb Undetected

https://www.virustotal.com/gui/file/9b5d2ee4c980a2d07c4e811ca00b451795155d39a5832487b57d04575cdaa681?nocache=1

 

2024-10-11 04:55 - 2024-10-11 04:55 - 000081920 _____ C:\ProgramData\svchost.exe

Kaspersky HEUR:Backdoor.MSIL.XWorm.gen

DrWeb BackDoor.BladabindiNET.30

https://www.virustotal.com/gui/file/fa12be5fc1ed92df720ce6c92ea49668cea81c713436de89f4c239d588cd9716?nocache=1

Изменено пользователем safety
Опубликовано (изменено)

Эти файлы оба надо удалить вначале

2024-10-11 04:55 - 2024-10-11 04:55 - 000081920 _____ C:\ProgramData\svchost.exe

и

C:\ProgramData\AnyDesk\svchost.exe,

этот (он в автозапуске), и процесс его пробуйте закрыть через диспетчер, если он работает.

 

Потом пробуйте сменить пароль админа.

Возможно будет необходима перезагрузка системы.

Если смена пароля будет успешной, сделайте после этого логи FRST от имени Администратора.

Так же можно использовать Winpe&uVS для сброса пароля Администратора и удаления указанных файлов.

Изменено пользователем safety
Опубликовано

Выполните скрипт очистки в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

 

Start::
HKLM\...\Run: [{AB1F3E47-AEF1-400E-A108-233A046C3A34}] => C:\ProgramData\AnyDesk\svchost.exe [401408 2024-10-11] () [Файл не подписан] <==== ВНИМАНИЕ
2024-10-12 03:00 - 2024-10-13 21:43 - 068055872 _____ C:\UkLog.dat
2024-10-12 02:21 - 2024-10-12 03:04 - 000003385 _____ C:\readme.txt
2024-10-12 02:21 - 2024-10-12 02:21 - 000000027 _____ C:\ssssa1.txt
2024-10-11 04:55 - 2024-10-11 04:55 - 000081920 _____ C:\ProgramData\svchost.exe
2024-10-11 04:20 - 2024-10-11 04:20 - 000000000 ____D C:\ProgramData\AnyDesk
2024-10-11 04:20 - 2024-10-11 04:20 - 000000000 ____D C:\ProgramData\{E603E1B9-32B2-4E51-B9BD-0F6C471D986B}
2024-10-12 02:21 - 2024-10-12 03:04 - 000003385 _____ C:\readme.txt
2024-10-12 02:21 - 2024-10-12 02:21 - 000000027 _____ C:\ssssa1.txt
2024-10-11 04:09 - 2024-10-11 04:46 - 000064512 _____ () C:\Users\Администратор\AppData\Roaming\svchost.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

Опубликовано

С расшифровкой по данному типу шифровальщика, к сожалению, не сможем помочь.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Игорь_Белов
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
    • Евгений А1
      Автор Евгений А1
      Добрый день! Поймали шифровальщик. Очень похоже на взлом сервера, зашифрованы не только папки которые были видны через сеть, но и папки внутри сервера. Которые не были расшарены. Во вложении файлы про выкуп. Реадми. И примеры зашифрованных файлов.
      vikupandfile.7zAddition.txtFRST.txt
    • il1dar
      Автор il1dar
      Добрый день!
      Прошу помочь с расшифровкой файлов. Поймал вирус на сервере, сменили пароль пользователя для входа (в систему попал). В системе зашифрованы офисные файлы и базы 1С. 
      Addition.txt FRST.txt readme.txt aes.rar
    • John77
      Автор John77
      Добрый день! Прошу помочь с расшифровкой файлов. 2 мая злоумышленник проник в систему, сменил пароли пользователей, создал пользователя aspnet, на рабочем столе этого пользователя есть папка PowerRun, в ней обнаружен файл app1.exe с трояном HEUR:Trojan-Ransom.MSIL.Agent.gen (сейчас он в карантине). В системе зашифрованы офисные файлы и базы 1С. 
      Addition.txt FRST.txt Files.rar
    • Aidos
      Автор Aidos
      Доброго времени суток! В Общем столкнулись с проблемой зашиврованных файлов aes. Можно ли как то расшифровать эти файлы?
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Задай вопрос Евгению Касперскому!"
×
×
  • Создать...