Перейти к содержанию

Рекомендуемые сообщения

Добрый день. На ПК, без установленного на момент шифрования антивируса, попал Trojan.Encoder.31074 (Lockbit 3). Все документы зашифрованы, в расширениях файлов содержится Hf7GtyFVI. Требования были размещены текстовым файлом во всех папках, где были документы. После обнаружения система сразу была просканирована через загрузочный диск Касперского, всё подозрительное удалено. Прошу помочь с расшифровкой. 

Files.zip

Ссылка на комментарий
Поделиться на другие сайты

Добавьте, пожалуйста, логи сканирования из KVRT

(из этой папки

2024-11-25 19:52 - 2024-11-25 19:52 - 000000000 ____D C:\KRD2018_Data

)

ВЫполните очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM-x32\...\Run: [] => [X]
S4 mrupdsrv; "C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe" --s [X] <==== ВНИМАНИЕ
S4 UbarPolicyProvider; C:\Program Files\UBar\UbarService.exe [X] <==== ВНИМАНИЕ
S1 vdm2odc0; \??\C:\Windows\system32\Drivers\vdm2odc0.sys [X]
2024-11-25 13:54 - 2024-11-25 13:37 - 000001934 _____ C:\Users\AVERT\AppData\Roaming\Hf7GtyFVI.README.txt
2024-11-25 13:54 - 2024-11-25 13:37 - 000001934 _____ C:\Users\AVERT\AppData\Hf7GtyFVI.README.txt
2024-11-25 13:27 - 2024-11-25 13:37 - 000001934 _____ C:\Users\AVERT\Documents\Hf7GtyFVI.README.txt
2024-11-25 13:27 - 2024-11-25 13:37 - 000001934 _____ C:\Users\AVERT\Desktop\Hf7GtyFVI.README.txt
2024-11-25 13:26 - 2024-11-25 13:37 - 000001934 _____ C:\Users\AVERT\Downloads\Hf7GtyFVI.README.txt
2024-11-25 13:21 - 2024-11-25 13:37 - 000001934 _____ C:\Users\Hf7GtyFVI.README.txt
2024-11-25 13:21 - 2024-11-25 13:37 - 000001934 _____ C:\Users\AVERT\Hf7GtyFVI.README.txt
2024-11-22 15:43 - 2024-11-25 13:37 - 000001934 _____ C:\Hf7GtyFVI.README.txt
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"ASEC\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EventFilter sethomePage2\":: <==== ВНИМАНИЕ
WMI:subscription\__TimerInstruction->SethomePage Interval Timer:: <==== ВНИМАНИЕ
WMI:subscription\__IntervalTimerInstruction->SethomePage Interval Timer:: <==== ВНИМАНИЕ
WMI:subscription\__EventFilter->EventFilter sethomePage2::[Query => Select * From __timerevent Where TimerId = "SethomePage Interval Timer"] <==== ВНИМАНИЕ
FirewallRules: [{352B5006-1BA5-4110-AEF1-B2FE17D9AB33}] => (Allow) C:\Program Files\UBar\ubar.exe => Нет файла
FirewallRules: [{3A2421A9-FE3F-42A6-87A4-3A7627BCB387}] => (Allow) C:\Users\AVERT\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{C7ADE1D3-54B4-4F76-856D-89015C559670}] => (Allow) C:\Users\AVERT\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{87C1A34B-96FE-4614-82BC-15916692B6FD}] => (Allow) C:\Users\AVERT\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{0DDF61E9-EC0B-46B1-B63C-B48CE5D56C4A}] => (Allow) C:\Users\AVERT\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{7073F88E-8988-4D98-BB27-5393D991B3FC}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{94A78E5F-3668-4AFA-B00A-A569093A70F0}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{AA6F48EC-C42D-4AF2-B101-FCD68FD9130F}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{EFD3DC1C-355C-4553-8FA8-5F61596E38D6}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
Reboot::
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

проверьте ЛС.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Мимохожий
      Автор Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
    • Мурат Профит
      Автор Мурат Профит
      Здравствуйте!
      Сегодня утром 17.05.2025, чуть позже 9.00 нас атаковала программа-шифровальщик.
      У файлов изменено расширение. И их невозможно открыть, как это делалось обычно.
      На сервере, где были зашифрованы файлы, установленный антивирус злоумышленники каким-то образом удалили.
      Файл шифровальщика не обнаружен.
      Addition.txt FRST.txt Shortcut.txt Файлы и требования.rar
    • Andrew Vi Ch
      Автор Andrew Vi Ch
      Добрый день.
      Поймали указанный шифровальщик, в системных логах были ошибки службы ngrok, перехватили AD, остановили KES, зашифрованы все виртуальные машины (Hyper-V), базы данных... в общем - 99% инфраструктуры. Вычищены теневые копии.
      Приложены архивы: 
      encrypted.zip - 2 зашифрованных файла + текстовик с единственной строкой "message us for decrypt" (расширение зашифрованных файлов .X1g2d2vbb)
      frst.zip - логи FRST
      lock.zip - запароленный в соответствии с инструкцией архив с исполняемым файлом шифровальщика.
      Прошу оказать содействие в расшифровке.
      Спасибо.
    • titusseenu
      Автор titusseenu
      possible?
    • Nibug
      Автор Nibug
      KxJiaPR.rar10 Мая неизвестными путями проник шифровальщик и заблочил большое количество файлов. Утилиты касперского не могут определить тип шифра и тем более расшифровать файлы 1.txt
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
×
×
  • Создать...