Перейти к содержанию

Поймали шифровальщик. Расширение файлов _[ID-KTRKI_Mail-Vertalic@Tuta.io].LKH

hafer
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание здесь.

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Далее,

Систему надо пролечить из под загрузочного диска, так есть признаки заражения вирусом Neshta, возможно что часть исполняемых файлов им уже заражена.

(explorer.exe ->) () [Файл не подписан] C:\Windows\svchost.com

Для лечения используем Kaspersky Rescue Disk

После лечения с помощью KRD, сделайте, пожалуйста, повторные логи FRST (FRST.txt и Addition.txt)

mitenevi29

mitenevi29

Опубликовано
Опубликовано (изменено)
05.12.2024 в 15:49, safety сказал:

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание здесь.

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Далее,

Систему надо пролечить из под загрузочного диска, так есть признаки заражения вирусом Neshta, возможно что часть исполняемых файлов им уже заражена.

(explorer.exe ->) () [Файл не подписан] C:\Windows\svchost.com

Для лечения используем Kaspersky Rescue Disk

После лечения с помощью KRD, сделайте, пожалуйста, повторные логи FRST (FRST.txt и Addition.txt)

Приветствую Вас, пролечили указанным средством логи ниже

Addition.txt FRST.txt

Изменено пользователем mitenevi29
safety

safety

Опубликовано
Опубликовано

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание здесь.

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Sandor

Sandor

Опубликовано
Опубликовано

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

11 часов назад, safety сказал:

C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

В архив упакуйте обязательно с паролем.

mitenevi29

mitenevi29

Опубликовано
Опубликовано
3 часа назад, Sandor сказал:

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

В архив упакуйте обязательно с паролем.

Приветствую, откуда взять это Vertalic@Tuta.io_Fast.exe

 Можно попроще как-то расписать действия.

Я сделал.

Почистил зараженный ПК KRD из под загрузчика ventoy.

Далее сделал логи системы , запаковал, поставил пароль virus, загрузил на яндекс диск, ссылку скинул сюда.

Понять не могу что это за действие ? 

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

safety

safety

Опубликовано
Опубликовано (изменено)
18 минут назад, mitenevi29 сказал:

Понять не могу что это за действие ? 

2024-12-04 01:41 - 2024-12-04 12:17 - 001308672 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

Данный файл:

C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

найти на диске, (путь его здесь указан)

заархивировать с паролем virus,

загрузить архив на облачный диск,

и дать ссылку на скачивание данного архива здесь, в вашем сообщении.

Изменено пользователем safety
mitenevi29

mitenevi29

Опубликовано
Опубликовано (изменено)
4 часа назад, Sandor сказал:

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

В архив упакуйте обязательно с паролем.

 

 

29 минут назад, safety сказал:

Данный файл:

C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe

найти на диске, (путь его здесь указан)

заархивировать с паролем virus,

загрузить архив на облачный диск,

и дать ссылку на скачивание данного архива здесь, в вашем сообщении.

готово

Изменено пользователем safety
mitenevi29

mitenevi29

Опубликовано
Опубликовано
4 часа назад, Sandor сказал:

Вы на Я.диск тоже загрузили отчёты в архиве. А нужно было это:

В архив упакуйте обязательно с паролем.

готово

safety

safety

Опубликовано
Опубликовано
21 минуту назад, mitenevi29 сказал:

готово

Просьба - не цитировать наши ответы. Надеюсь, понятная для вас.

по вашей ссылке  - я ее удалил после скачивания, архива файл шифровальщика, которым зашифрованы файлы.

результат проверки здесь.

https://virusscan.jotti.org/ru-RU/filescanjob/0mcnsdkit5

 

Скрипт очистки системы сейчас добавлю в следующем  сообщении.

safety

safety

Опубликовано
Опубликовано

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
Startup: C:\Users\kostya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-12-04] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2024-12-04] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-12-04 02:53 - 2024-12-04 02:53 - 000006143 _____ C:\Users\Администратор\Desktop\ReadMe.hta
2024-12-04 02:53 - 2024-12-04 02:53 - 000001838 _____ C:\Users\Администратор\AppData\S-6748.bat
2024-12-04 01:41 - 2024-12-05 23:40 - 001267200 _____ C:\Users\Администратор\Documents\Vertalic@Tuta.io_Fast.exe
2024-12-04 01:40 - 2024-12-05 23:40 - 002266128 _____ (voidtools) C:\Users\Администратор\Desktop\Everything.exe
2024-12-04 01:32 - 2024-11-15 23:30 - 000000689 _____ C:\Windows\system32\cmd.bat
2024-12-04 01:31 - 2024-12-05 23:40 - 000940080 _____ (SoftPerfect Research) C:\Users\Buhgalter\Desktop\0netscan.exe
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files (x86)\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files\Common Files\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Program Files (x86)\Common Files\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Users\kostya\AppData\Roaming\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Users\kostya\AppData\Roaming\Microsoft\Restore_Your_Files.txt
2024-12-04 01:44 - 2024-12-04 01:44 - 000004856 _____ () C:\Users\kostya\AppData\Local\Restore_Your_Files.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС)

safety

safety

Опубликовано
Опубликовано (изменено)

@mitenevi29,

вы какое отношение имеете к теме топикстартера?

 

Судя по Fixlog..txt вас опять шифровали, возможно в момент выполнения скрипта.

(Или сами запустили тело шифровальщика.)

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

https://id-ransomware.blogspot.com/2021/04/rcru64-ransomware.html

 

 

Изменено пользователем safety
  • safety закрыл тема
  • safety открыл тема

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • gregy
      Поймали шифровальщика, как вернуть файлы?
      Автор gregy
      Система 2008r2, установлен Kaspersky Small Office Security лицензионный. Как я понимаю поймали RCRU64 Ransomware. При сканирование был найден rcru_64.exe.
      Часть файлов зашифрована. Сбиты настройки системы.Помогите пожалуйста дешифровать файлы.
      В приложение логи c AutoLogger, письмо, которое лежит во всех папках.
      rcru_64.exe в карантине.
       
      CollectionLog-2021.07.12-00.56.zip Read_Me!_.txt
    • o089901
      зловред зашифровал файлы на сервере 1с
      Автор o089901
      после вынужденной перезагрузки сервера перестали работать базы 1с, как оказалось файлы на сервере зашифрованы вирусом
      FRST.txt virus.7z
      AppData.7z N-Save-XJOZE.7z
    • Дмитрий Борисович
      Шифровальщик с расширением LOQ
      Автор Дмитрий Борисович
      Приветствую!
      8 декабря, примерно в 20 часов была замечена активность шифровальщика.
      Выявлено шифрование файлов на всех активных компьютерах сети.
      Зашифрованные файлы с расширением - .loq
      В корне диска C:\ найден файл с раширением .txt следующего содержания:
       
      All Your Files Are Locked And Important Data Downloaded !

      Your Files Are No Longer Accessible Don't Waste Your Time, Without Our Decryption Program Nobody Can't Help You .
      If Payment Isn't Made After A While We Will Sell OR Publish Some Of Your Data . You Don't Have Much Time!

      Your ID : HFXGT
      If You Want To Restore Them Email Us : Evo.team1992@gmail.com
      If You Do Not Receive A Response Within 24 Hours, Send A Message To Our Second Email : Qqq113168@gmail.com
      To Decrypt Your Files You Need Buy Our Special Decrypter In Bitcoin .
      Every Day The Delay Increases The Price !! The Decryption Price Depends On How Fast You Write To Us Email.
      We Deliver The Decryptor Immediately After Payment , Please Write Your System ID In The Subject Of Your E-mail.
      What is the guarantee !
      Before Payment You Can Send Some Files For Decryption Test.
      If We Do Not Fulfill Our Obligations, No One Does Business With Us , Our Reputation Is Important To Us 
      It's Just Business To Get Benefits.
      ===============================================================================
      Attention !
      Do Not Rename,Modify Encrypted Files .
      Do Not Try To Recover Files With Free Decryptors Or Third-Party Programs And Antivirus Solutions Because 
      It May Make Decryption Harder Or Destroy Your Files Forever !
      ===============================================================================
      Buy Bitcoin !
      https://www.kraken.com/learn/buy-bitcoin-btc
      https://www.coinbase.com/how-to-buy/bitcoin
       
       
      Архив.zip
    • denis_01r
      Шифровальщик [ID-CTIKC_Mail-Vertalic@Tuta.io].HAA
      Автор denis_01r
      Добрый день!
      На сервер 1С попал вирус. 1С серверная, УТ11. Стоит на mssql. Вирус - шифровальщик. Зашифровал все файлы mdf и ldf. Теперь к концу файла после расширения приписано _[ID-CTIKC_mail-Veryic@Tuta.io].haa
      Ничем не открывается естественно
      На текущий момент система переустановлена. Но есть бекап.
      Addition (1).txt FRST (1).txt
    • de_Gauss
      Шифровальщик [ID-RRF0H_Mail-dr.file2022@gmail.com].M4X
      Автор de_Gauss
      Файлы в общей папке были зашифрованы. Есть часть оригинальных файлов. KIS при сканировании определил заразу как "Trojan-Ransom.Win32.Rannoh". Декриптор от Касперского к сожалению файлы не видит, видно что-то новое. Прошу помощи.
      Оригиналы и зашифрованные файлы лежат здесь. При необходимости могу добавить ещё несколько образцов.
       https://disk.yandex.ru/d/YbtE77b9yLa2wQ
×
×
  • Создать...