Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Поймал вирус-шифровальщик, переименовал все расширения файлов на *.Sauron

Freeman80S
 Поделиться

Рекомендуемые сообщения

Freeman80S Новичок

Freeman80S

Опубликовано
Опубликовано

Пока катался по городу, сотрудница умудрилась поймать вирус, после этого слились данные "подключение к удаленному рабочему столу", я так понял далее тело из-за бугра залезо на сервер и переименовал все расширения файлов на окончание *.Sauron.

Запустил все известные анти-вирусы, как итог ничего не находят. В файле требований два адреса: почта adm.helproot@gmail.com, телеграмм канал @adm_helproot, и предложение обменять деньги на биткоины и связаться с этими телами! Во вложении оценка системы и зашифрованные файлы. Буду благодарен! (пароль от архива virus)

FRST.txt шифр файлы и требование.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Судя по логу FRST в системе установлено два антивирусных продукта:

HKLM\...\Run: [SpIDerAgent] => C:\Program Files\DrWeb\spideragent.exe [14881840 2024-10-15] (Doctor Web Ltd. -> Doctor Web, Ltd.)

HKLM-x32\...\Run: [QHSafeTray] => C:\Program Files (x86)\360\Total Security\safemon\360Tray.exe [413000 2023-03-15] (Beijing Qihu Technology Co., Ltd. -> Qihoo 360 Technology Co. Ltd.)

Удалите через установку/удаление один из них. (Лучше удалить 360 и оставить свежеустановленный Дрвеб, если есть лицензия.) 2 антивируса в системе - защищенности это не прибавит, а проблем в системе добавит.

 

Эти файлы добавьте в архив с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

2024-10-15 22:56 - 2024-10-15 22:56 - 000000011 _____ C:\Users\nout\Desktop\r.cfg
2024-10-15 22:55 - 2024-10-15 14:41 - 000617984 _____ C:\Users\nout\Desktop\1.exe

1.exe временно переименуйте в 1.vexe до результата проверки, так как он ест ьв автозапуске

Task: {4CAAA42F-E0C5-42FF-9316-E5247B0E4545} - System32\Tasks\Windows Update ALPHV => C:\Users\nout\Desktop\1.exe [617984 2024-10-15] () [Файл не подписан]

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Freeman80S Новичок

Freeman80S

Опубликовано
  • Автор
Опубликовано (изменено)

 

сделано

Изменено пользователем safety
Ссылка удалена, ссылки на вредоносные программы не публикуем в общем доступе, только через ЛС
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
22 минуты назад, Freeman80S сказал:

сделано

Ссылка удалена, ссылки на вредоносные программы не публикуем в общем доступе, только через ЛС

Результат проверки:

ESET-NOD32 A Variant Of Win64/Filecoder.PP

Kaspersky HEUR:Trojan-Ransom.Win32.Generic

TrendMicro Ransom.Win64.CONTI.SMYPDL1

DrWeb Undetected

https://www.virustotal.com/gui/file/3dc6902dc87d976787bdf0878e7174ec526df613645d3f275e0216d05cf2d217?nocache=1

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

  

Start::
HKLM-x32\...\Run: [] => [X]
Task: {4CAAA42F-E0C5-42FF-9316-E5247B0E4545} - System32\Tasks\Windows Update ALPHV => C:\Users\nout\Desktop\1.exe [617984 2024-10-15] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2721602364-4143453170-3849822865-1000\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
2024-10-15 22:56 - 2024-10-15 22:56 - 000000011 _____ C:\Users\nout\Desktop\r.cfg
2024-10-15 22:55 - 2024-10-15 14:41 - 000617984 _____ C:\Users\nout\Desktop\1.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Если файл переименовали,

2024-10-15 22:55 - 2024-10-15 14:41 - 000617984 _____ C:\Users\nout\Desktop\1.exe

удалите его вручную.

+

проверьте ЛС.

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Evgen001
      Поймал вирусы, переименовались службы
      Автор Evgen001
      Здравствуйте! С месяц назад качал ворд и поймал вирусы, через касперского вроде как удалил все, сегодня решил обновить виндовс, зашел, а службы все переименованы. UsoSvc_bkp, wuauserv_bkp стали вот в таком формате. Прикрепляю логи
      CollectionLog-2025.01.08-01.01.zip
    • Dmitriy_23
      [РЕШЕНО] Поймали вирусы, переименовались службы
      Автор Dmitriy_23
      Windows Server 2019, провели проверку утилитой KVRT. Утилита нашла в системе 2 угрозы: Trojan.Multi.BroSubsc.gen (System Memory), HEUR:Trojan.Multi.Agent.gen (C:\Windows\System32\Tasks\dialersvc64). Для первой угрозы предложено Лечить, для второй Удалить. Пока не выполняли действий над угрозами. Также в системе было обнаружено переименование служб:
      wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp
      Файлы логов AutoLogger, FRST в вложении.
       
      FRST64.7z CollectionLog-2025.01.22-21.20.zip CollectionLog-2025.01.22-21.01.7z FRST64.7z
    • Константин174
      Поймали вирус
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • ViZorT
      Поймал шифровальщик blackpanther@mailum
      Автор ViZorT
      Поймали шифровальщик blackpanther@mailum.
      ОС не переустанавливалась.
      Прошу помощи.
      Файл шифровальщика, предположительно, удалось найти. Имеется архив с ним.
      Спасибо.
      Addition.txt Desktop.rar FRST.txt
    • Иван Иванович Ивановский
      Шифровальщик зашифровал файлы расширение .6iENBa2rG
      Автор Иван Иванович Ивановский
      сегодня утром зашифровал все файлы
      часть данных у меня были на флешке, есть исходные, не зашифрованные файлы - положил их тоже в архив
      что это за тип шифровальщика, возможна ли расшифровка?
      и с компом чего теперь делать, возможно ли очистить и работать дальше или лучше все отформатировать и переустановить ?
       
      архив и логи FRST прилагаю
      Архив.7z Addition.txt FRST.txt
×
×
  • Создать...