Перейти к содержанию

Поймал вирус-шифровальщик, переименовал все расширения файлов на *.Sauron

Freeman80S
 Share

Рекомендуемые сообщения

Freeman80S Новичок

Freeman80S

Опубликовано
Опубликовано

Пока катался по городу, сотрудница умудрилась поймать вирус, после этого слились данные "подключение к удаленному рабочему столу", я так понял далее тело из-за бугра залезо на сервер и переименовал все расширения файлов на окончание *.Sauron.

Запустил все известные анти-вирусы, как итог ничего не находят. В файле требований два адреса: почта adm.helproot@gmail.com, телеграмм канал @adm_helproot, и предложение обменять деньги на биткоины и связаться с этими телами! Во вложении оценка системы и зашифрованные файлы. Буду благодарен! (пароль от архива virus)

FRST.txt шифр файлы и требование.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Судя по логу FRST в системе установлено два антивирусных продукта:

HKLM\...\Run: [SpIDerAgent] => C:\Program Files\DrWeb\spideragent.exe [14881840 2024-10-15] (Doctor Web Ltd. -> Doctor Web, Ltd.)

HKLM-x32\...\Run: [QHSafeTray] => C:\Program Files (x86)\360\Total Security\safemon\360Tray.exe [413000 2023-03-15] (Beijing Qihu Technology Co., Ltd. -> Qihoo 360 Technology Co. Ltd.)

Удалите через установку/удаление один из них. (Лучше удалить 360 и оставить свежеустановленный Дрвеб, если есть лицензия.) 2 антивируса в системе - защищенности это не прибавит, а проблем в системе добавит.

 

Эти файлы добавьте в архив с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

2024-10-15 22:56 - 2024-10-15 22:56 - 000000011 _____ C:\Users\nout\Desktop\r.cfg
2024-10-15 22:55 - 2024-10-15 14:41 - 000617984 _____ C:\Users\nout\Desktop\1.exe

1.exe временно переименуйте в 1.vexe до результата проверки, так как он ест ьв автозапуске

Task: {4CAAA42F-E0C5-42FF-9316-E5247B0E4545} - System32\Tasks\Windows Update ALPHV => C:\Users\nout\Desktop\1.exe [617984 2024-10-15] () [Файл не подписан]

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Freeman80S Новичок

Freeman80S

Опубликовано
  • Автор
Опубликовано (изменено)

 

сделано

Изменено пользователем safety
Ссылка удалена, ссылки на вредоносные программы не публикуем в общем доступе, только через ЛС
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)
22 минуты назад, Freeman80S сказал:

сделано

Ссылка удалена, ссылки на вредоносные программы не публикуем в общем доступе, только через ЛС

Результат проверки:

ESET-NOD32 A Variant Of Win64/Filecoder.PP

Kaspersky HEUR:Trojan-Ransom.Win32.Generic

TrendMicro Ransom.Win64.CONTI.SMYPDL1

DrWeb Undetected

https://www.virustotal.com/gui/file/3dc6902dc87d976787bdf0878e7174ec526df613645d3f275e0216d05cf2d217?nocache=1

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

  

Start::
HKLM-x32\...\Run: [] => [X]
Task: {4CAAA42F-E0C5-42FF-9316-E5247B0E4545} - System32\Tasks\Windows Update ALPHV => C:\Users\nout\Desktop\1.exe [617984 2024-10-15] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2721602364-4143453170-3849822865-1000\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
2024-10-15 22:56 - 2024-10-15 22:56 - 000000011 _____ C:\Users\nout\Desktop\r.cfg
2024-10-15 22:55 - 2024-10-15 14:41 - 000617984 _____ C:\Users\nout\Desktop\1.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Если файл переименовали,

2024-10-15 22:55 - 2024-10-15 14:41 - 000617984 _____ C:\Users\nout\Desktop\1.exe

удалите его вручную.

+

проверьте ЛС.

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ovfilinov
      поймали шифровальщика - дописывает после расширения файла 6a19a55854eee3
      От ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
    • xSmashQQQ
      [РЕШЕНО] Поймал вирусы, переименовались службы.
      От xSmashQQQ
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv_bkp уже исправил с помощью 1 сайта, позже обнаружил UsoSvc_bkp. Я все проверил вчера на вирусы, а сейчас нашел вот это. Я начал исправлять ошибку с обновление виндовс в параметрах по видеороликам и вот наткнулся что у меня файлы переименованы в _bkp. Решил обратиться к вам за помощью.
    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • skyinfire
      Куча файлов, даже фильмов, переименована в *.Bpant
      От skyinfire
      Здравствуйте.
      Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.
      Сканирование Касперским (одноразовым) ничего не находит.
      Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)
      А вот пароль непростой, 20 символов, хоть и словами с регистрами.
      Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.
      В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.
      Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?
      Bpant_Help.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • specxpilot
      Вирус зашифровал файлы с расширением .iw8
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
×
×
  • Создать...