Перейти к содержанию

Шифровальщик с расширением .wtch

tom1
 Share

Рекомендуемые сообщения

tom1 Новичок

tom1

Опубликовано
Опубликовано

Здравствуйте.

Поймали шифровальщик, зашифровал файлы с расширением .wtch. После чего произошло, сказать затрудняюсь (возможно, был получен удаленный доступ к компьютеру, был найден на компьютере advanced port scanner). Помогите, пожалуйста, если есть возможность. Отчеты Farbar и зашифрованные файлы прикладываю. Злоумышленники требуют писать им на почту DecryptData@skiff.com.

Файл самого шифровальщика обнаружен, готов предоставить.

Addition.txt FRST.txt файлы.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Имя записки о выкупе:

#README-TO-DECRYPT-FILES.txt

Данные файлы добавьте в  архив с паролем malware123, архив загрузите на облачный диск и дайте ссылку на скачивание здесь.
 

Цитата

 

2024-12-07 16:28 - 2024-12-08 17:04 - 000681984 _____ C:\Users\buh\Desktop\cryptor.exe

HKU\S-1-5-21-65742528-3860353280-3700343050-1007\...\Run: [TrustFiles@skiff.com.exe] => C:\Users\admin\Desktop\cryptor.exe (Нет файла)

Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cryptor.exe [2024-12-08] () [Файл не подписан]

 

после загрузки архива данные файлы следует удалить.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Скрипт по очистке системы от тел шифровальщика для выполнения в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-65742528-3860353280-3700343050-1007\...\Run: [TrustFiles@skiff.com.exe] => C:\Users\admin\Desktop\cryptor.exe (Нет файла)
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cryptor.exe [2024-12-08] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#README-TO-DECRYPT-FILES.txt [2024-12-07] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-12-07 16:35 - 2024-12-07 18:19 - 000001682 _____ C:\ProgramData\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:35 - 2024-12-07 18:14 - 000001682 _____ C:\Program Files (x86)\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:34 - 2024-12-07 18:14 - 000001682 _____ C:\Users\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:34 - 2024-12-07 18:13 - 000001682 _____ C:\Program Files\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:34 - 2024-12-07 18:11 - 000001682 _____ C:\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:28 - 2024-12-08 17:04 - 000681984 _____ C:\Users\buh\Desktop\cryptor.exe
2024-12-07 09:17 - 2024-12-08 17:05 - 000000000 ____D C:\Users\buh\Desktop\1
2024-12-07 09:12 - 2024-12-07 09:16 - 020386224 _____ (Famatech Corp. ) C:\Users\buh\Desktop\Advanced_Port_Scanner_2.5.3869.exe
2024-12-07 16:34 - 2024-12-07 18:13 - 000001682 _____ () C:\Program Files\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:35 - 2024-12-07 18:14 - 000001682 _____ () C:\Program Files (x86)\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:41 - 2024-12-07 18:19 - 000001682 _____ () C:\Program Files\Common Files\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:45 - 2024-12-07 18:13 - 000001682 _____ () C:\Program Files (x86)\Common Files\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:46 - 2024-12-07 18:10 - 000001682 _____ () C:\Users\admin\AppData\Roaming\#README-TO-DECRYPT-FILES.txt
2024-12-07 17:37 - 2024-12-07 18:06 - 000001682 _____ () C:\Users\admin\AppData\Roaming\Microsoft\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:46 - 2024-12-07 18:10 - 000001682 _____ () C:\Users\admin\AppData\Local\#README-TO-DECRYPT-FILES.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
tom1 Новичок

tom1

Опубликовано
  • Автор
Опубликовано

Сам crypto.exe тоже в архив поместить?

Его "Касперский" удаляет, положу в отдельный архив с паролем virus.

Пока положил только #README-TO-DECRYPT-FILES.txt

https://disk.yandex.ru/d/gtD6p4jHLm3G4A

 

Fixlog.txt прикладываю.

Архив поместил на диск, пароль на архив внутри virus

https://disk.yandex.ru/d/gtD6p4jHLm3G4A

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
38 минут назад, tom1 сказал:

Сам crypto.exe тоже в архив поместить?

Как раз нужен файл шифровальщика - записка о выкупе у нас уже есть, надеюсь он попал в карантин.

Ссылка на комментарий
Поделиться на другие сайты
tom1 Новичок

tom1

Опубликовано
  • Автор
Опубликовано
Только что, safety сказал:

Как раз нужен файл шифровальщика - записка о выкупе у нас уже есть, надеюсь он попал в карантин.

Да, там всё в архиве лежит. Сам шифровальщик внутри архива FRST, в отдельном архиве cryptor. Пароль везде virus.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Судя по комментарию специалиста, это действительно Sauron,

набирающий активность тип шифровальщика, основанный на утекшем коде Conti.

#Sauron #Ransomware (Conti-based)

https://www.virustotal.com/gui/file/58ad733b6abcf3793248cfb24aa8e75709b58982a11b86800a81f65287747f24/detection

пример шифрования:

#README-TO-DECRYPT-FILES.txt

7-zip.chm.[id-f51292e4].[decryptdata@skiff.com].ojnh

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Можем проанализировать причину проникновения злоумышленников на ваше устройство.

Проверьте ЛС.

-----------

С расшифровкой по данному типу шифровальщика, увы, не сможем помочь.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
1 час назад, tom1 сказал:

Fixlog.txt прикладываю.

Что еще пропустили для выполнения в FRST:

(поправил скрипт)

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы 

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2680996432-1665435054-3968177902-1001\...\Run: [T.exe] => C:\Users\kassa\Desktop\c\cryptor.exe [446976 2024-12-11] () [Файл не подписан]
Startup: C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#README.hta [2024-12-16] () [Файл не подписан]
Startup: C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cryptor.exe [2024-12-11] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#README.hta [2024-12-16] () [Файл не подписан]
2024-12-16 13:22 - 2024-12-16 16:07 - 006221922 _____ C:\ProgramData\T.bmp
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\SysWOW64\Drivers\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\SysWOW64\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\system32\Tasks\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\system32\spool\prtprocs\x64\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\system32\Drivers\etc\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\system32\Drivers\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\system32\config\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\system32\#README.hta
2024-12-16 13:10 - 2024-12-16 13:10 - 000010146 _____ C:\Windows\Tasks\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Windows\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\Downloads\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\Documents\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\Desktop\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\Roaming\Microsoft\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\Roaming\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\LocalLow\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\Local\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Public\Downloads\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Public\Documents\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Public\Desktop\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Public\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\Downloads\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\Documents\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\Desktop\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\Roaming\Microsoft\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\Roaming\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\LocalLow\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\Local\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\Downloads\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\Documents\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\Desktop\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\AppData\Roaming\Microsoft\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\AppData\Roaming\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\AppData\Local\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\AppData\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\ProgramData\Microsoft\Windows\Start Menu\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\ProgramData\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Program Files\Common Files\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Program Files\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Program Files (x86)\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\#README.hta
2024-12-16 13:08 - 2024-12-16 16:07 - 000001703 _____ C:\ProgramData\#README-TO-DECRYPT-FILES.txt
2024-12-16 13:08 - 2024-12-16 13:08 - 000001703 _____ C:\Users\User\#README-TO-DECRYPT-FILES.txt
2024-12-16 13:08 - 2024-12-16 13:08 - 000001703 _____ C:\Users\kassa\Documents\#README-TO-DECRYPT-FILES.txt
2024-12-16 13:08 - 2024-12-16 13:08 - 000001703 _____ C:\Users\kassa\Desktop\#README-TO-DECRYPT-FILES.txt
2024-12-16 13:08 - 2024-12-16 13:08 - 000001703 _____ C:\Users\kassa\#README-TO-DECRYPT-FILES.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Юрикс
      Шифровальщик, расширение .A7V3ac
      От Юрикс
      Приветствую всех. Уже прилично как зашифровало файлы. Почтой отправлял данные (сам вирус и шифрованные файлы) в Касперский, но что-то тишина.
      Шифрование похоже на .7Kf9uY и .rOSb1V. Только в сообщении у меня другая ссылка на сайт. А так, вроде и сайт с тем самим видом.
      Внимание! Все Ваши файлы зашифрованы!Чтобы восстановить свои файлы посетите сайт http://plc.2fh.co Если сайт недоступен пишите на plc12@inbox.com Ваш id d9115873 У вас есть 6 попыток ввода кода. При превышении этого  лимита все данные необратимо испортятся. Надеюсь и мне повезёт с расшифровкой.
      Прикладываю шифрованный файл.
      OemInfo.zip.zip
    • Always_Young
      Шифровальщик вымогатель. Расширение .y8ItHTbGJ
      От Always_Young
      Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

      Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip
    • Алексей Шеин
      Файлы зашифрованы шифровальщиком с расширением .yzho
      От Алексей Шеин
      Добрый день.
       
      Зашифровались данные на дисках компьютера, все файлы стали с расширением .yzho кто подскажет, чем можно расшифровать?
      Спасибо.
       
      С уважением,
      Алексей Шеин
       

       
    • talga_mprint
      Неизвестный шифровальщик с расширением файлов .m0D0cQNMb
      От talga_mprint
      Доброго времени суток, нужна помощь в определении или расшифровке файлов.
      В пятницу вечером (070225) на компьютере сотрудника были зашифрованный файлы, предположительно через RDP(!rdp осуществляется через vpn с 2 ключами безопасности).

      Так же присутствует readme файл с email для контактов и выкупа. 
      Addition.txt FRST.txt encrypt-files.rar
      m0D0cQNMb.README.txt
    • Croony
      Через RDP шифровальщик с расширением .frank
      От Croony
      Addition.txt FRST.txt Desktop.zip Frank_Help.txt
×
×
  • Создать...