Перейти к содержанию
Задай вопрос Алексею Тодирашу!

Шифровальщик с расширением .wtch

tom1
 Share

Рекомендуемые сообщения

tom1 Новичок

tom1

Опубликовано
Опубликовано

Здравствуйте.

Поймали шифровальщик, зашифровал файлы с расширением .wtch. После чего произошло, сказать затрудняюсь (возможно, был получен удаленный доступ к компьютеру, был найден на компьютере advanced port scanner). Помогите, пожалуйста, если есть возможность. Отчеты Farbar и зашифрованные файлы прикладываю. Злоумышленники требуют писать им на почту DecryptData@skiff.com.

Файл самого шифровальщика обнаружен, готов предоставить.

Addition.txt FRST.txt файлы.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Имя записки о выкупе:

#README-TO-DECRYPT-FILES.txt

Данные файлы добавьте в  архив с паролем malware123, архив загрузите на облачный диск и дайте ссылку на скачивание здесь.
 

Цитата

 

2024-12-07 16:28 - 2024-12-08 17:04 - 000681984 _____ C:\Users\buh\Desktop\cryptor.exe

HKU\S-1-5-21-65742528-3860353280-3700343050-1007\...\Run: [TrustFiles@skiff.com.exe] => C:\Users\admin\Desktop\cryptor.exe (Нет файла)

Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cryptor.exe [2024-12-08] () [Файл не подписан]

 

после загрузки архива данные файлы следует удалить.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Скрипт по очистке системы от тел шифровальщика для выполнения в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-65742528-3860353280-3700343050-1007\...\Run: [TrustFiles@skiff.com.exe] => C:\Users\admin\Desktop\cryptor.exe (Нет файла)
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cryptor.exe [2024-12-08] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#README-TO-DECRYPT-FILES.txt [2024-12-07] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-12-07 16:35 - 2024-12-07 18:19 - 000001682 _____ C:\ProgramData\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:35 - 2024-12-07 18:14 - 000001682 _____ C:\Program Files (x86)\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:34 - 2024-12-07 18:14 - 000001682 _____ C:\Users\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:34 - 2024-12-07 18:13 - 000001682 _____ C:\Program Files\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:34 - 2024-12-07 18:11 - 000001682 _____ C:\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:28 - 2024-12-08 17:04 - 000681984 _____ C:\Users\buh\Desktop\cryptor.exe
2024-12-07 09:17 - 2024-12-08 17:05 - 000000000 ____D C:\Users\buh\Desktop\1
2024-12-07 09:12 - 2024-12-07 09:16 - 020386224 _____ (Famatech Corp. ) C:\Users\buh\Desktop\Advanced_Port_Scanner_2.5.3869.exe
2024-12-07 16:34 - 2024-12-07 18:13 - 000001682 _____ () C:\Program Files\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:35 - 2024-12-07 18:14 - 000001682 _____ () C:\Program Files (x86)\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:41 - 2024-12-07 18:19 - 000001682 _____ () C:\Program Files\Common Files\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:45 - 2024-12-07 18:13 - 000001682 _____ () C:\Program Files (x86)\Common Files\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:46 - 2024-12-07 18:10 - 000001682 _____ () C:\Users\admin\AppData\Roaming\#README-TO-DECRYPT-FILES.txt
2024-12-07 17:37 - 2024-12-07 18:06 - 000001682 _____ () C:\Users\admin\AppData\Roaming\Microsoft\#README-TO-DECRYPT-FILES.txt
2024-12-07 16:46 - 2024-12-07 18:10 - 000001682 _____ () C:\Users\admin\AppData\Local\#README-TO-DECRYPT-FILES.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
tom1 Новичок

tom1

Опубликовано
  • Автор
Опубликовано

Сам crypto.exe тоже в архив поместить?

Его "Касперский" удаляет, положу в отдельный архив с паролем virus.

Пока положил только #README-TO-DECRYPT-FILES.txt

https://disk.yandex.ru/d/gtD6p4jHLm3G4A

 

Fixlog.txt прикладываю.

Архив поместил на диск, пароль на архив внутри virus

https://disk.yandex.ru/d/gtD6p4jHLm3G4A

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано
38 минут назад, tom1 сказал:

Сам crypto.exe тоже в архив поместить?

Как раз нужен файл шифровальщика - записка о выкупе у нас уже есть, надеюсь он попал в карантин.

Ссылка на комментарий
Поделиться на другие сайты
tom1 Новичок

tom1

Опубликовано
  • Автор
Опубликовано
Только что, safety сказал:

Как раз нужен файл шифровальщика - записка о выкупе у нас уже есть, надеюсь он попал в карантин.

Да, там всё в архиве лежит. Сам шифровальщик внутри архива FRST, в отдельном архиве cryptor. Пароль везде virus.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Судя по комментарию специалиста, это действительно Sauron,

набирающий активность тип шифровальщика, основанный на утекшем коде Conti.

#Sauron #Ransomware (Conti-based)

https://www.virustotal.com/gui/file/58ad733b6abcf3793248cfb24aa8e75709b58982a11b86800a81f65287747f24/detection

пример шифрования:

#README-TO-DECRYPT-FILES.txt

7-zip.chm.[id-f51292e4].[decryptdata@skiff.com].ojnh

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Можем проанализировать причину проникновения злоумышленников на ваше устройство.

Проверьте ЛС.

-----------

С расшифровкой по данному типу шифровальщика, увы, не сможем помочь.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)
1 час назад, tom1 сказал:

Fixlog.txt прикладываю.

Что еще пропустили для выполнения в FRST:

(поправил скрипт)

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы 

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2680996432-1665435054-3968177902-1001\...\Run: [T.exe] => C:\Users\kassa\Desktop\c\cryptor.exe [446976 2024-12-11] () [Файл не подписан]
Startup: C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#README.hta [2024-12-16] () [Файл не подписан]
Startup: C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cryptor.exe [2024-12-11] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#README.hta [2024-12-16] () [Файл не подписан]
2024-12-16 13:22 - 2024-12-16 16:07 - 006221922 _____ C:\ProgramData\T.bmp
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\SysWOW64\Drivers\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\SysWOW64\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\system32\Tasks\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\system32\spool\prtprocs\x64\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\system32\Drivers\etc\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\system32\Drivers\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\system32\config\#README.hta
2024-12-16 13:10 - 2024-12-16 13:25 - 000010146 _____ C:\Windows\system32\#README.hta
2024-12-16 13:10 - 2024-12-16 13:10 - 000010146 _____ C:\Windows\Tasks\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Windows\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\Downloads\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\Documents\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\Desktop\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\Roaming\Microsoft\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\Roaming\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\LocalLow\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\Local\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\AppData\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\User\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Public\Downloads\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Public\Documents\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Public\Desktop\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Public\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\Downloads\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\Documents\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\Desktop\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\Roaming\Microsoft\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\Roaming\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\LocalLow\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\Local\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\AppData\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\kassa\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\Downloads\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\Documents\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\Desktop\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\AppData\Roaming\Microsoft\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\AppData\Roaming\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\AppData\Local\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\AppData\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\Default\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Users\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\ProgramData\Microsoft\Windows\Start Menu\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\ProgramData\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Program Files\Common Files\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Program Files\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\Program Files (x86)\#README.hta
2024-12-16 13:09 - 2024-12-16 13:22 - 000010146 _____ C:\#README.hta
2024-12-16 13:08 - 2024-12-16 16:07 - 000001703 _____ C:\ProgramData\#README-TO-DECRYPT-FILES.txt
2024-12-16 13:08 - 2024-12-16 13:08 - 000001703 _____ C:\Users\User\#README-TO-DECRYPT-FILES.txt
2024-12-16 13:08 - 2024-12-16 13:08 - 000001703 _____ C:\Users\kassa\Documents\#README-TO-DECRYPT-FILES.txt
2024-12-16 13:08 - 2024-12-16 13:08 - 000001703 _____ C:\Users\kassa\Desktop\#README-TO-DECRYPT-FILES.txt
2024-12-16 13:08 - 2024-12-16 13:08 - 000001703 _____ C:\Users\kassa\#README-TO-DECRYPT-FILES.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Дмитрий Борисович
      Шифровальщик с расширением LOQ
      От Дмитрий Борисович
      Приветствую!
      8 декабря, примерно в 20 часов была замечена активность шифровальщика.
      Выявлено шифрование файлов на всех активных компьютерах сети.
      Зашифрованные файлы с расширением - .loq
      В корне диска C:\ найден файл с раширением .txt следующего содержания:
       
      All Your Files Are Locked And Important Data Downloaded !

      Your Files Are No Longer Accessible Don't Waste Your Time, Without Our Decryption Program Nobody Can't Help You .
      If Payment Isn't Made After A While We Will Sell OR Publish Some Of Your Data . You Don't Have Much Time!

      Your ID : HFXGT
      If You Want To Restore Them Email Us : Evo.team1992@gmail.com
      If You Do Not Receive A Response Within 24 Hours, Send A Message To Our Second Email : Qqq113168@gmail.com
      To Decrypt Your Files You Need Buy Our Special Decrypter In Bitcoin .
      Every Day The Delay Increases The Price !! The Decryption Price Depends On How Fast You Write To Us Email.
      We Deliver The Decryptor Immediately After Payment , Please Write Your System ID In The Subject Of Your E-mail.
      What is the guarantee !
      Before Payment You Can Send Some Files For Decryption Test.
      If We Do Not Fulfill Our Obligations, No One Does Business With Us , Our Reputation Is Important To Us 
      It's Just Business To Get Benefits.
      ===============================================================================
      Attention !
      Do Not Rename,Modify Encrypted Files .
      Do Not Try To Recover Files With Free Decryptors Or Third-Party Programs And Antivirus Solutions Because 
      It May Make Decryption Harder Or Destroy Your Files Forever !
      ===============================================================================
      Buy Bitcoin !
      https://www.kraken.com/learn/buy-bitcoin-btc
      https://www.coinbase.com/how-to-buy/bitcoin
       
       
      Архив.zip
    • Saul
      Шифровальщик. Расширение aiLuw2ie
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
    • ovfilinov
      поймали шифровальщика - дописывает после расширения файла 6a19a55854eee3
      От ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
    • Юрий Ч
      Шифровальщик с расширением .pussylikeashavel-VDwOdhMlTSSzwonBISwPaN-iUT48ohlKrYg8yifZcRQ
      От Юрий Ч
      1
    • Tadashy
      Шифровальщик с расширением .XgihMbuy9
      От Tadashy
      Здравствуйте. Собственно проник вирус, зашифровал файлы, расширение теперь .XgihMbuy9
      Затронуты файлы с расширением .xlsx .doc .jpeg .rar
      Пробовал утилиты из двух источников: nomoreransom и noransom.kaspersky.com но ничего из этого не сработало.
      data.rar Addition.txt FRST.txt
×
×
  • Создать...