Перейти к содержанию

Шифровальщик cyberfear

WhySpice
 Поделиться

Рекомендуемые сообщения

WhySpice

WhySpice

Опубликовано
Опубликовано (изменено)

Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox

Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ

Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt

README.txt

Изменено пользователем WhySpice
  • Ответов 34
  • Создана
  • Последний ответ

Топ авторов темы

  • safety

    17

  • WhySpice

    17

  • Mark D. Pearlstone

    1

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Mark D. Pearlstone
Mark D. Pearlstone

Строгое предупреждение от модератора Mark D. Pearlstone Это мошенники. Не общайтесь с ними. Читайте правила, кто может писать и помогать в данном разделе.

Изображения в теме

WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано

Уточнение:
RDP порт был нестандартным, также ip block после двух неудачных попыток входа (обезопасился от брутфорса)

safety

safety

Опубликовано
Опубликовано

Это ваши файлы:?

2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe
2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd

которые в автозапуске

HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ

 

WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано (изменено)
Только что, safety сказал:

Это ваши файлы:?

2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe
2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd

которые в автозапуске

HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ

 

Нет, не мои. Сейчас еще KVRT досканирует, отчет пришлю

Изменено пользователем WhySpice
safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
() [Файл не подписан] C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23\datastorecyberfearcom.exe <2>
(C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23\datastorecyberfearcom.exe ->) (voidtools -> voidtools) C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23\Everything.exe
HKLM\...\Run: [datastorecyberfearcom] => C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23\datastorecyberfearcom.exe [2394112 2023-07-24] () [Файл не подписан]
HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ
HKLM-x32\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [3888664 2020-11-10] (Microsoft Windows -> Microsoft Corporation) <=== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\1cv8.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\1cv8c.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\1cv8s.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\agntsvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SecHealthUI.exe: [Debugger] svchost.exe
IFEO\SecurityHealthService.exe: [Debugger] svchost.exe
IFEO\SecurityHealthSystray.exe: [Debugger] svchost.exe
IFEO\shutdown.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\upfc.exe: [Debugger] svchost.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\windows\System32\Systray.exe
2025-01-06 14:53 - 2025-01-06 14:53 - 000000352 _____ C:\Users\WHYSPICE-SERVER\AppData\Local\README.txt
2025-01-06 14:50 - 2025-01-06 14:50 - 000000352 _____ C:\README.txt
2025-01-06 12:41 - 2025-01-06 12:41 - 000000352 _____ C:\Users\yana\AppData\Local\README.txt
2025-01-06 14:58 - 2024-08-21 00:11 - 000000000 ____D C:\Temp
2025-01-06 14:56 - 2024-05-12 07:41 - 000000000 __SHD C:\Users\yana\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23
2025-01-06 14:53 - 2023-06-10 18:47 - 000000000 __SHD C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23                                                                            
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

+

 

Эти файлы добавьте в отдельный архив с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание здесь.

2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe
2024-11-21 10:59 - 2009-07-22 08:08 - 742720768 ___SH C:\windows\Windows Driver Foundation (WUD).exe
2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd

 

Изменено пользователем safety
WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано

После перезагрузки снесло загрузчик... Сейчас через LiveCD загружусь, скину логи.

safety

safety

Опубликовано
Опубликовано (изменено)

Возможно у вас здесь нестандартная загрузка, потому я спросил про эти файлы: 

HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ
HKLM-x32\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [3888664 2020-11-10] (Microsoft Windows -> Microsoft Corporation) <=== ВНИМАНИЕ
Изменено пользователем safety
WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано (изменено)

Quarantine: ссылка удалена

Fixlog.txt

11 минут назад, safety сказал:

Возможно у вас здесь нестандартная загрузка, потому я спросил про эти файлы: 

HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ
HKLM-x32\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [3888664 2020-11-10] (Microsoft Windows -> Microsoft Corporation) <=== ВНИМАНИЕ


Нет, все по стандарту. В c:\windows 3 файла появилось, которых я не видел wudf.exe, wtime.cmd и Windows Driver Foundation.exe (все 3 скрытые). Их раньше не было.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Скрипт выполнился успешно.

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"="Explorer.exe" => значение успешно восстановлен
HKLM\Software\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"="Explorer.exe" => значение успешно восстановлен

 

Карантин сейчас проверю.

Папку с карантином без пароля заархивировали? Надо с паролем virus, иначе облачный сервер не отдаст файл.

 

 

5 минут назад, safety сказал:

HKLM\Software\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"="Explorer.exe" => значение успешно восстановлен

Если проблема с загрузкой останется, восстановите в реестре здесь прежнее значение ключа.

"C:\Windows\SysWOW64\explorer.exe"

Изменено пользователем safety
WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано (изменено)

ссылка удалена

исправил

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Пробуйте на Яндекс-диск загрузить. Mail не отдает архив.

WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано (изменено)
11 минут назад, safety сказал:

Пробуйте на Яндекс-диск загрузить. Mail не отдает архив.

файл загружен, ссылка удалена

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Карантин скачал (Яндекс более "демократичен", предупредил что в архиве вируса, но скачать разрешил) но вы так и не установили пароль на папку карантина.

24 минуты назад, WhySpice сказал:

Нет, все по стандарту. В c:\windows 3 файла появилось, которых я не видел wudf.exe, wtime.cmd и Windows Driver Foundation.exe (все 3 скрытые). Их раньше не было.

тогда эти три файла добавьте в архив с паролем virus, архив так же загрузите на Яндекс диск и дайте здесь ссылку на скачивание.

2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe
2024-11-21 10:59 - 2009-07-22 08:08 - 742720768 ___SH C:\windows\Windows Driver Foundation (WUD).exe
2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd

Изменено пользователем safety
WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано
4 минуты назад, safety сказал:

Карантин скачал (Яндекс более "демократичен", предупредил что в архиве вируса, но скачать разрешил) но вы так и не установили пароль на папку карантина.

тогда эти три файла добавьте в архив с паролем virus, архив так же загрузите на Яндекс диск и дайте здесь ссылку на скачивание.

2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe
2024-11-21 10:59 - 2009-07-22 08:08 - 742720768 ___SH C:\windows\Windows Driver Foundation (WUD).exe
2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd

https://disk.yandex.ru/d/p_Dp8StiWs3mpg

safety

safety

Опубликовано
Опубликовано (изменено)
31 минуту назад, WhySpice сказал:

2024-11-21 10:59 - 2009-07-22 08:08 - 742720768 ___SH C:\windows\Windows Driver Foundation (WUD).exe

такой ответ:

Данный процесс является служебным и, скорее всего, какое-то сторонее приложение обращается к нему и загружает ваш процессор.

Другие два файла подозрительны, возможно они как раз этот файл и запускают для своей цели.

 

Сделайте новые логи FRST посмотрим что там сейчас после очистки

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • valkovaleksandr
      Шифровальщик cyberfear
      Автор valkovaleksandr
      Добрый день! Просьба помочь с  Шифровальщик cyberfear.
      Вот такая фигня вылазит при открытии текстовиков:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your personal ID: *****sJm4WtmxxeX8*datastore@cyberfear.com
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us to this e-mail: datastore@cyberfear.com
      In case of no answer in 24 hours write us to this backup e-mail: back2up@swismail.com
      Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
      Contact us soon, because those who don't have their data leaked in our press release blog and the price they'll have to pay will go up significantly.
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt README_SOLVETHIS.txt Привет.docx Текстовый документ.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • fastheel
      Шифровальщик
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
    • KOHb39
      Шифровальщик blackFL
      Автор KOHb39
      Словили этот злополучный шифровальщик.
      На одной машине удалось изолировать его ехе файл судя по дате создания, файл гулял по ПК в сети.
      Может ли это как-то помочь в расшифровке? Кому передать и каким способом?
    • Влад1810
      Шифровальщик blackFL
      Автор Влад1810
      Аналогично зашифровало, нужна помощьНовая папка.7z
      BlackField_ReadMe.txt
    • Restinn
      Шифровальщик blackFL
      Автор Restinn
      Добрый день. Помогите в расшифровке. Ночью 06.08 все зашифровал и все. В инете никакой инфы нет
      Касперский не был установлен
      Прикрепил файлы и текстовый док 
      Новая папка.rar BlackField_ReadMe.txt
×
×
  • Создать...