Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Поймал вирус-шифровальщик, переименовал все расширения файлов на *.Sauron

Freeman80S
 Поделиться

Рекомендуемые сообщения

Freeman80S

Freeman80S

Опубликовано
Опубликовано

Пока катался по городу, сотрудница умудрилась поймать вирус, после этого слились данные "подключение к удаленному рабочему столу", я так понял далее тело из-за бугра залезо на сервер и переименовал все расширения файлов на окончание *.Sauron.

Запустил все известные анти-вирусы, как итог ничего не находят. В файле требований два адреса: почта adm.helproot@gmail.com, телеграмм канал @adm_helproot, и предложение обменять деньги на биткоины и связаться с этими телами! Во вложении оценка системы и зашифрованные файлы. Буду благодарен! (пароль от архива virus)

FRST.txt шифр файлы и требование.rar

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Судя по логу FRST в системе установлено два антивирусных продукта:

HKLM\...\Run: [SpIDerAgent] => C:\Program Files\DrWeb\spideragent.exe [14881840 2024-10-15] (Doctor Web Ltd. -> Doctor Web, Ltd.)

HKLM-x32\...\Run: [QHSafeTray] => C:\Program Files (x86)\360\Total Security\safemon\360Tray.exe [413000 2023-03-15] (Beijing Qihu Technology Co., Ltd. -> Qihoo 360 Technology Co. Ltd.)

Удалите через установку/удаление один из них. (Лучше удалить 360 и оставить свежеустановленный Дрвеб, если есть лицензия.) 2 антивируса в системе - защищенности это не прибавит, а проблем в системе добавит.

 

Эти файлы добавьте в архив с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

2024-10-15 22:56 - 2024-10-15 22:56 - 000000011 _____ C:\Users\nout\Desktop\r.cfg
2024-10-15 22:55 - 2024-10-15 14:41 - 000617984 _____ C:\Users\nout\Desktop\1.exe

1.exe временно переименуйте в 1.vexe до результата проверки, так как он ест ьв автозапуске

Task: {4CAAA42F-E0C5-42FF-9316-E5247B0E4545} - System32\Tasks\Windows Update ALPHV => C:\Users\nout\Desktop\1.exe [617984 2024-10-15] () [Файл не подписан]

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Freeman80S

Freeman80S

Опубликовано
  • Автор
Опубликовано (изменено)

 

сделано

Изменено пользователем safety
Ссылка удалена, ссылки на вредоносные программы не публикуем в общем доступе, только через ЛС
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)
22 минуты назад, Freeman80S сказал:

сделано

Ссылка удалена, ссылки на вредоносные программы не публикуем в общем доступе, только через ЛС

Результат проверки:

ESET-NOD32 A Variant Of Win64/Filecoder.PP

Kaspersky HEUR:Trojan-Ransom.Win32.Generic

TrendMicro Ransom.Win64.CONTI.SMYPDL1

DrWeb Undetected

https://www.virustotal.com/gui/file/3dc6902dc87d976787bdf0878e7174ec526df613645d3f275e0216d05cf2d217?nocache=1

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

  

Start::
HKLM-x32\...\Run: [] => [X]
Task: {4CAAA42F-E0C5-42FF-9316-E5247B0E4545} - System32\Tasks\Windows Update ALPHV => C:\Users\nout\Desktop\1.exe [617984 2024-10-15] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2721602364-4143453170-3849822865-1000\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
2024-10-15 22:56 - 2024-10-15 22:56 - 000000011 _____ C:\Users\nout\Desktop\r.cfg
2024-10-15 22:55 - 2024-10-15 14:41 - 000617984 _____ C:\Users\nout\Desktop\1.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Если файл переименовали,

2024-10-15 22:55 - 2024-10-15 14:41 - 000617984 _____ C:\Users\nout\Desktop\1.exe

удалите его вручную.

+

проверьте ЛС.

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ярослав1_1
      Кажется поймал вирус переименовавший мне некоторые службы из за чего не работает ццентр обновления виндовс
      Автор Ярослав1_1
      CollectionLog-2025.07.16-13.18.zipВот лог, надеюсь чир сможете помочь
      Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
       
      Похожая проблема 
      Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
       
    • AbzalRai
      Вирус переименовал службы. очередной майнер
      Автор AbzalRai
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. недавно подцепил майнер (система нагружался) удалил утилитой Доктор Паутиной. но к сожалению оставил след. теперь не могу запускать обновление системы и майкрософт магазин. прошу помочь в решение этой проблемы. В инете не нашел общего решение. у всех по разному как я вижу. 
      Вроде собрал для вас все виды логов. надеюсь все правильно сделал. 
       
      Logs.rar
    • ruina
      [РЕШЕНО] Поймал вирусы, переименовались службы _bkp
      Автор ruina
      Добрый день. Прошу помощи, перCollectionLog-2025.05.22-12.57.zipеименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp
    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • Ekaterinaa
      Повреждены/переименованы системные службы
      Автор Ekaterinaa
      Добрый день!
      Некоторое время назад появилась проблема - стали долго запускаться значки на панели задач при запуске компьютера, через пару минут появлялись. Также стал долго грузиться профиль.
      Вчера в какой-то момент стали все программы тормозить. Отключила из автозагрузки все ненужные программы, оставила только Razer Synapse 3 (для работы макросов на мышке) и 7+ Taskbar Tweaker для разделения иконок на панели задач.
      После проверки Kaspersky Free нашел какой-то вирус, вылечил с перезагрузкой компьютера, но проблема не исчезла. 
      Полезла в журнал событий, там показывались ошибки с UsoSvc, BITS, wuauserv_bkp. Центр обновления не работал
      Скачала службы BITS, UsoSvc, wuauserv, dosvc. Заработал цент обновления (по крайней мере он теперь загружается и хоть что-то показывает), значки на панели задач запускаются сразу при включении пк, в журнале событий ошибок нет. Но профиль также грузится небыстро. И в службах остались висеть с названием _bkp.

      Kaspersky Free ничего не нашел, Kaspersky Virus Removal Tool также только указывает на запрет (используется для работы дискорда и ютуба, проблем ранее не возникало с ним). 

       
      Также есть службы, которые после перезапуска пк меняют приписку в названии в конце, пример ниже (не все службы, их с припиской больше), что кажется странным.

       
      Прикрепляю логи с FRST и с AutoLogger.
      Addition.txt
      FRST.txt
      CollectionLog-2025.07.26-11.58.zip
       
      Помогите, пожалуйста, удалить поврежденные службы и все следы после вируса.
       
×
×
  • Создать...