Перейти к содержанию

Поймали по почте шифровальщик-вымогатель

Алексей Андронов

Автор Алексей Андронов
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Алексей Андронов

Алексей Андронов

Опубликовано
Опубликовано

Добрый день!

 

Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
Ничего не переустанавливали и не трогали.
Все, что можно спасти, копируем.

Пострадал один ПК и один резервный сменный накопитель.
Шифровальщик затронул большинство файлов.
Предположительно получен по почте 02.12.24 под видом акта сверки расчетов

 

Прошу помощи в излечении и расшифровке

 

Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль

архив.zip virus.zip Addition.txt FRST.txt

safety

safety

Опубликовано
Опубликовано

По файлам:

0875262.tmp.vexe

https://www.virustotal.com/gui/file/58bdb5d9861757d39c74ed120258490c8b3c84b24a348d51f9b0acf8680f538f

Акт сверки взаиморасчетов по состоянию на 02.12.2024 года.vexe

https://www.virustotal.com/gui/file/3754ee76891dbac8e8d7507c61f5967fd036096482138d513788c34fb289b500

 

по логу FRST

 

Этот файл проверьте на Virustotal.com и дайте ссылку на результат проверки:

C:\Users\User\AppData\Local\service_updater.exe

safety

safety

Опубликовано
Опубликовано

По очистке системы в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKU\S-1-5-21-3897462618-2172501404-877883105-1000\...\Run: [Windows] => C:\Users\User\AppData\Local\Temp\0875262.tmp.exe [344280 2024-12-12] (GTR LLC -> Xps Push Layer Component) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-3897462618-2172501404-877883105-1000\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pWX6JsNsd.README.txt [2024-12-12] () [Файл не подписан]
HKU\S-1-5-21-3897462618-2172501404-877883105-1000\...\Run: [SputnikUpdater.exe] => C:\Users\User\Downloads\Акт сверки взаиморасчетов по состоянию на 02.12.2024 года.exe [211792 2024-12-02] (Abaran -> AMR Narrowband Encoder DLL) [Файл не подписан]
HKU\S-1-5-21-3897462618-2172501404-877883105-1000\...\Run: [service_updater] => C:\Users\User\AppData\Local\service_updater.exe [426296 2024-12-03] (Baloon -> ) [Файл не подписан]
2024-12-12 12:53 - 2024-12-12 12:53 - 004147254 _____ C:\ProgramData\pWX6JsNsd.bmp
2024-12-12 12:46 - 2024-12-12 12:50 - 000001934 _____ C:\Users\User\AppData\LocalLow\pWX6JsNsd.README.txt
2024-12-12 12:46 - 2024-12-12 12:50 - 000001934 _____ C:\Users\User\AppData\Local\pWX6JsNsd.README.txt
2024-12-12 12:45 - 2024-12-12 12:50 - 000001934 _____ C:\Users\User\pWX6JsNsd.README.txt
2024-12-12 12:45 - 2024-12-12 12:50 - 000001934 _____ C:\Users\User\Downloads\pWX6JsNsd.README.txt
2024-12-12 12:45 - 2024-12-12 12:50 - 000001934 _____ C:\Users\User\Documents\pWX6JsNsd.README.txt
2024-12-12 12:45 - 2024-12-12 12:50 - 000001934 _____ C:\Users\User\Desktop\pWX6JsNsd.README.txt
2024-12-12 12:45 - 2024-12-12 12:50 - 000001934 _____ C:\Users\User\AppData\Roaming\pWX6JsNsd.README.txt
2024-12-12 12:45 - 2024-12-12 12:50 - 000001934 _____ C:\Users\User\AppData\pWX6JsNsd.README.txt
2024-12-12 12:45 - 2024-12-12 12:50 - 000001934 _____ C:\Users\pWX6JsNsd.README.txt
2024-12-12 12:45 - 2024-12-12 12:50 - 000001934 _____ C:\pWX6JsNsd.README.txt
2024-12-02 15:13 - 2024-12-02 15:13 - 000211792 _____ (AMR Narrowband Encoder DLL) C:\Users\User\Downloads\Акт сверки взаиморасчетов по состоянию на 02.12.2024 года.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Добавьте новые логи FRST для контроля.

Алексей Андронов

Алексей Андронов

Опубликовано
  • Автор
Опубликовано

Ссылка на проверку virustotal файла C:\Users\User\AppData\Local\service_updater.exe

https://www.virustotal.com/gui/file/5e6933bf5451314976415c4292fa52cc74331b7515a376d31f5301109f37bf3c

 

Ссылка на файл карантина

https://www.4shared.com/s/fuLD3KOsUge

 

Логи лечения и контроля после перезагрузки во вложении

 

Есть надежда на расшифровку файлов?

Addition.txt FRST.txt Fixlog.txt

safety

safety

Опубликовано
Опубликовано
17 минут назад, Алексей Андронов сказал:

Ссылка на файл карантина

 

 

Карантин можно перезаписать на  Яндекс-диск?

Алексей Андронов

Алексей Андронов

Опубликовано
  • Автор
Опубликовано

Спасибо большое за помощь.

 

Пошёл переустанавливать систему

safety

safety

Опубликовано
Опубликовано
теперь, когда ваши данные были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

  • safety закрыл тема
  • safety открыл тема

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • strana2016
      Вирус-шифровальщик labubu
      Автор strana2016
      Поймали такой вирус, на одном из компьютеров сети появился файл с требованиями LABUBU, Новый сетевой диск и часть данных на компьютере, а так же в общей папке локальной сети зашифрована .dom. Kaspersky отключился. Можно ли полагать, что это все, что он успел зашифровать или лучше не включать зараженный компьютер? И может ли через общую папку он проникнуть в компьютеры других пользователей? Спасибо

    • Alex955
      Шифровальщик зашифровал все файлы в формат .UxJ9PqWn7
      Автор Alex955
      Добрый день , все файлы зашифрованы и переведены в неизвестный формат .UxJ9PqWn7   есть ли шансы восстановить файлы? куда копать?
      UxJ9PqWn7.README.txt FN-00455.pdf.zip
    • yaregg
      Diamond Ransomware
      Автор yaregg
      Вчера подключался некий "удалённый специалист" через anydesk.RDP порты были закрыты. Сегодня были проблемы с логином (пароль не походил). Зашёл под администратором, всё зашифровано.
      При помощи KVRT поймал исполняемый файл. Судя по всему, это LockBit V3 black и на расшифровку можно не рассчитывать?
       
       
       
       
      файлы.rarAddition.txtFRST.txt
    • Владислав Николаевич
      Зашифровали Lockbit.HA!MTB
      Автор Владислав Николаевич
      Сервер и все физические тачки зашифрованы.
      Нигде на просторах интернета не нашел дешифратор.
      На всех устройствах стоял Kaspersky Endpoint Security, но что-то пошло не так.
      В архиве текстовик с телеграммом вредителя и пример файлов, которые зашифрованы.
      Друзья, хелп)
      Crypt.rar
    • Алексейtime
      Вирус шифровальщик 21.12.2025
      Автор Алексейtime
      Доброе время суток, сегодня обнаружил что всё зашифровано, проверили cureit ничего не обнаружил, от слова ничего. Файлы зашифрованы и конечно же письмо ниже. Подскажите есть смысл с этим бороться или можно всё похоронить? Один из файлов прикрепил

                                                     YOUR FILES HAVE BEEN ENCRYPTED!
      Hello. All of your files have been encrypted by ransomware. Your important documents, photos, and databases are no longer accessible.
      We have used strong encryption algorithms that cannot be broken. Do not try to recover the files yourself or use third-party tools. This will only lead to permanent data loss. The only way to get your files back is to pay the ransom.
      To restore your data, you must send a payment in Bitcoin
      You have 24 hours to make the payment. If you do not pay within this timeframe, the price will double. If you ignore this message for 7 days, your files will be deleted forever.
      To buy Bitcoin and send it, you would typically:
      Search online for instructions on how to buy Bitcoin.
      Follow instructions on a cryptocurrency exchange platform.
      Send the specified amount to the provided address.
      After sending the payment, you might be instructed to send a unique ID to an email address to receive a decryption key.
      Your Unique ID: ***
      Email: chunwen@atomicmail.io
      Jabber : chunwen@xmpp.jp
      How to use it? (for newbie)
      Sign up
      https://www.xmpp.jp/signup
      press https://www.xmpp.jp/client/
      Press add a contact in a left side
      XMPP ADRESS
      and add my jabber chunwen@xmpp.jp and press add
      Write me a message with your Unique ID
      IT IS FAST AND ANONYMOUS!
      The message would often state that the intention is solely financial and that once payment is confirmed, a decryption tool would be provided, with no further contact.
       
      amuhUv4.rar
×
×
  • Создать...