Перейти к содержанию

Поймал вирус-шифровальщик, переименовал все расширения файлов на *.Sauron

Freeman80S
 Поделиться

Рекомендуемые сообщения

Freeman80S

Freeman80S

Опубликовано
Опубликовано

Пока катался по городу, сотрудница умудрилась поймать вирус, после этого слились данные "подключение к удаленному рабочему столу", я так понял далее тело из-за бугра залезо на сервер и переименовал все расширения файлов на окончание *.Sauron.

Запустил все известные анти-вирусы, как итог ничего не находят. В файле требований два адреса: почта adm.helproot@gmail.com, телеграмм канал @adm_helproot, и предложение обменять деньги на биткоины и связаться с этими телами! Во вложении оценка системы и зашифрованные файлы. Буду благодарен! (пароль от архива virus)

FRST.txt шифр файлы и требование.rar

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по логу FRST в системе установлено два антивирусных продукта:

HKLM\...\Run: [SpIDerAgent] => C:\Program Files\DrWeb\spideragent.exe [14881840 2024-10-15] (Doctor Web Ltd. -> Doctor Web, Ltd.)

HKLM-x32\...\Run: [QHSafeTray] => C:\Program Files (x86)\360\Total Security\safemon\360Tray.exe [413000 2023-03-15] (Beijing Qihu Technology Co., Ltd. -> Qihoo 360 Technology Co. Ltd.)

Удалите через установку/удаление один из них. (Лучше удалить 360 и оставить свежеустановленный Дрвеб, если есть лицензия.) 2 антивируса в системе - защищенности это не прибавит, а проблем в системе добавит.

 

Эти файлы добавьте в архив с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

2024-10-15 22:56 - 2024-10-15 22:56 - 000000011 _____ C:\Users\nout\Desktop\r.cfg
2024-10-15 22:55 - 2024-10-15 14:41 - 000617984 _____ C:\Users\nout\Desktop\1.exe

1.exe временно переименуйте в 1.vexe до результата проверки, так как он ест ьв автозапуске

Task: {4CAAA42F-E0C5-42FF-9316-E5247B0E4545} - System32\Tasks\Windows Update ALPHV => C:\Users\nout\Desktop\1.exe [617984 2024-10-15] () [Файл не подписан]

 

Изменено пользователем safety
Freeman80S

Freeman80S

Опубликовано
  • Автор
Опубликовано (изменено)

 

сделано

Изменено пользователем safety
Ссылка удалена, ссылки на вредоносные программы не публикуем в общем доступе, только через ЛС
safety

safety

Опубликовано
Опубликовано (изменено)
22 минуты назад, Freeman80S сказал:

сделано

Ссылка удалена, ссылки на вредоносные программы не публикуем в общем доступе, только через ЛС

Результат проверки:

ESET-NOD32 A Variant Of Win64/Filecoder.PP

Kaspersky HEUR:Trojan-Ransom.Win32.Generic

TrendMicro Ransom.Win64.CONTI.SMYPDL1

DrWeb Undetected

https://www.virustotal.com/gui/file/3dc6902dc87d976787bdf0878e7174ec526df613645d3f275e0216d05cf2d217?nocache=1

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

  

Start::
HKLM-x32\...\Run: [] => [X]
Task: {4CAAA42F-E0C5-42FF-9316-E5247B0E4545} - System32\Tasks\Windows Update ALPHV => C:\Users\nout\Desktop\1.exe [617984 2024-10-15] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2721602364-4143453170-3849822865-1000\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
2024-10-15 22:56 - 2024-10-15 22:56 - 000000011 _____ C:\Users\nout\Desktop\r.cfg
2024-10-15 22:55 - 2024-10-15 14:41 - 000617984 _____ C:\Users\nout\Desktop\1.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

safety

safety

Опубликовано
Опубликовано (изменено)

Если файл переименовали,

2024-10-15 22:55 - 2024-10-15 14:41 - 000617984 _____ C:\Users\nout\Desktop\1.exe

удалите его вручную.

+

проверьте ЛС.

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Evgen001
      Поймал вирусы, переименовались службы
      Автор Evgen001
      Здравствуйте! С месяц назад качал ворд и поймал вирусы, через касперского вроде как удалил все, сегодня решил обновить виндовс, зашел, а службы все переименованы. UsoSvc_bkp, wuauserv_bkp стали вот в таком формате. Прикрепляю логи
      CollectionLog-2025.01.08-01.01.zip
    • Dmitriy_23
      [РЕШЕНО] Поймали вирусы, переименовались службы
      Автор Dmitriy_23
      Windows Server 2019, провели проверку утилитой KVRT. Утилита нашла в системе 2 угрозы: Trojan.Multi.BroSubsc.gen (System Memory), HEUR:Trojan.Multi.Agent.gen (C:\Windows\System32\Tasks\dialersvc64). Для первой угрозы предложено Лечить, для второй Удалить. Пока не выполняли действий над угрозами. Также в системе было обнаружено переименование служб:
      wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp
      Файлы логов AutoLogger, FRST в вложении.
       
      FRST64.7z CollectionLog-2025.01.22-21.20.zip CollectionLog-2025.01.22-21.01.7z FRST64.7z
    • xSmashQQQ
      [РЕШЕНО] Поймал вирусы, переименовались службы.
      Автор xSmashQQQ
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv_bkp уже исправил с помощью 1 сайта, позже обнаружил UsoSvc_bkp. Я все проверил вчера на вирусы, а сейчас нашел вот это. Я начал исправлять ошибку с обновление виндовс в параметрах по видеороликам и вот наткнулся что у меня файлы переименованы в _bkp. Решил обратиться к вам за помощью.
    • vasili_rb
      [РЕШЕНО] Поймал вируса, переименовались службы
      Автор vasili_rb
      Добрый день.
      Прошу помощи.
      Споймал на сервере вирусы.
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Проверил kaspersky office small security.
      Заранее спасибо!
      computerservice.txt computerservice1.txt
    • ovfilinov
      поймали шифровальщика - дописывает после расширения файла 6a19a55854eee3
      Автор ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
×
×
  • Создать...