Перейти к содержанию

Рекомендуемые сообщения

Пользователь Владимир
Опубликовано (изменено)

Доброго дня.

На компьютере большинство файлов сменили расширение, в конце дописано Demetro9990@cock.li

После поиска информации в интернете выяснил что шифровальщик.

Прошу вашей помощи в расшифровке и удалению программы с ПК.

Примеры файлов в архиве, текстовый сообщение от вымогателей.

README.txt зашифрован.rar Addition.txt FRST.txt

Изменено пользователем Пользователь Владимир
опечатки
Опубликовано

Содержимое этой папки покажите

2024-12-11 03:11 - 2024-12-12 03:52 - 000000000 ____D C:\temp

 

Пользователь Владимир
Опубликовано
7 часов назад, safety сказал:

Содержимое этой папки покажите

2024-12-11 03:11 - 2024-12-12 03:52 - 000000000 ____D C:\temp

 

там один файл session.tmp создан 11.12.2024

 

7 часов назад, safety сказал:

Содержимое этой папки покажите

2024-12-11 03:11 - 2024-12-12 03:52 - 000000000 ____D C:\temp

 

не могу отправить вам личное сообщение.

хотел поделиться ссылкой на архив с файлами, которые обнаружил на ПК. Если вам что то скажет GoldBrute и FIX и немного текстовых файлов

Опубликовано (изменено)
9 минут назад, Пользователь Владимир сказал:

хотел поделиться ссылкой на архив с файлами, которые обнаружил на ПК. Если вам что то скажет GoldBrute и FIX и немного текстовых файлов

Архив с паролем virus загрузите на облачный диск и дайте ссылку на скачивание  здесь, в вашем сообщении.

-------------

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\...\Run: [PIDAR.exe] => notepad.exe "C:\Users\admasu\AppData\Local\README.txt" (Нет файла)
HKLM-x32\...\Run: [K7TSStart] => "C:\Program Files (x86)\K7 Computing\K7TSecurity\K7TSecurity.exe" (Нет файла)
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-12-11 03:11 - 2024-12-12 03:52 - 000000000 ____D C:\temp
2024-12-12 04:02 - 2023-10-21 01:21 - 000000000 __SHD C:\Users\admasu\AppData\Local\3F4FFA8F-24F8-6F78-A0DA-370314484853
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Пользователь Владимир
Опубликовано (изменено)
1 час назад, safety сказал:

Архив с паролем virus загрузите на облачный диск и дайте ссылку на скачивание  здесь, в вашем сообщении.

-------------

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\...\Run: [PIDAR.exe] => notepad.exe "C:\Users\admasu\AppData\Local\README.txt" (Нет файла)
HKLM-x32\...\Run: [K7TSStart] => "C:\Program Files (x86)\K7 Computing\K7TSecurity\K7TSecurity.exe" (Нет файла)
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-12-11 03:11 - 2024-12-12 03:52 - 000000000 ____D C:\temp
2024-12-12 04:02 - 2023-10-21 01:21 - 000000000 __SHD C:\Users\admasu\AppData\Local\3F4FFA8F-24F8-6F78-A0DA-370314484853
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

вот ссылка на файлы Quarantine и вот ссылка на файлы, пароли одинаковые

Fixlog.txt

Изменено пользователем safety
ссылку на инструменты стер
  • Like (+1) 1
Опубликовано (изменено)
57 минут назад, Пользователь Владимир сказал:

вот ссылка на файлы, пароли одинаковые

здесь инструменты злоумышленника для брута учетных записей + файлы паролей -словари, которые он использует для брута.

 

В системе есть остатки от антивируса Pro32, можно воспользоваться удалением всех остатков в помощью штатной утилиты.

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа. (Который только у злоумышленников)

Изменено пользователем safety
Пользователь Владимир
Опубликовано
34 минуты назад, safety сказал:

здесь инструменты злоумышленника для брута учетных записей + файлы паролей -словари, которые он использует для брута.

 

В системе есть остатки от антивируса Pro32, можно воспользоваться удалением всех остатков в помощью штатной утилиты.

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа. (Который только у злоумышленников)

понял вас, и на этом спасибо.

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Dmitry.K
      Автор Dmitry.K
      Здравствуйте, все файлы на рабочем сервере зашифрованы, выглядят примерно вот так:
      Предыдущий админ бэкапов не делал
       
      PUBID_1417896-20210406_ВыгрузкаЗагрузкаИзбранного.epf.WWWWW-vuSRP-NeSC-8GVhkGC2CoADRAf6mTQYNKCc4TqWbgzY
       
      Прикладываю лог frst и архив с файлами
      Addition.txt encrypted_samples.7z FRST.txt
    • Lord2454
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • ELF_11
      Автор ELF_11
      Зашифровали базы 1с. Прошу помощи.
      Addition.txt FRST.txt Новая папка.rar
    • Oleg_krsk
      Автор Oleg_krsk
      Здравия! Зашифрованы данные:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by UVE
      Your decryption ID is BNTfl0HlszCcO2lxtK5ner4yJ4hsCRXClGUs1cHPyBw*uve-BNTfl0HlszCcO2lxtK5ner4yJ4hsCRXClGUs1cHPyBw
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - cristi@mailum.com
      2) Telegram - @cristi025 or https://t.me/cristi025
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
       
      Помогите расшифровать!
    • SEDEK
      Автор SEDEK
      Добрый день! Наша компания столкнулась с мошенниками, которые заразили все сервера под управлением виндовс сервер. Очень прошу помочь, так как встали все рабочие процессы и офис не может функционировать.
       
      ZUT - Windows Server 2019
      Angel - Windows Server 2012 R2
      ZVID - Windows Server 2019
      Версия везде одна и та же keswin_12.10.0.466_ru_aes256.exe
      578A3A89.key
          Kaspersky Security for WS and FS
      578A3A88.key
          Kaspersky Security Center
       
       
      Addition.txt FRST.txt file .zip
×
×
  • Создать...