Перейти к содержанию

Шифровальщик cyberfear

WhySpice
 Поделиться

Рекомендуемые сообщения

WhySpice

WhySpice

Опубликовано
Опубликовано (изменено)

Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox

Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ

Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt

README.txt

Изменено пользователем WhySpice
  • Ответов 34
  • Создана
  • Последний ответ

Топ авторов темы

  • safety

    17

  • WhySpice

    17

  • Mark D. Pearlstone

    1

Топ авторов темы

Популярные посты

Mark D. Pearlstone
Mark D. Pearlstone

Строгое предупреждение от модератора Mark D. Pearlstone Это мошенники. Не общайтесь с ними. Читайте правила, кто может писать и помогать в данном разделе.

Изображения в теме

WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано

Уточнение:
RDP порт был нестандартным, также ip block после двух неудачных попыток входа (обезопасился от брутфорса)

safety

safety

Опубликовано
Опубликовано

Это ваши файлы:?

2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe
2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd

которые в автозапуске

HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ

 

WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано (изменено)
Только что, safety сказал:

Это ваши файлы:?

2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe
2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd

которые в автозапуске

HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ

 

Нет, не мои. Сейчас еще KVRT досканирует, отчет пришлю

Изменено пользователем WhySpice
safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
() [Файл не подписан] C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23\datastorecyberfearcom.exe <2>
(C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23\datastorecyberfearcom.exe ->) (voidtools -> voidtools) C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23\Everything.exe
HKLM\...\Run: [datastorecyberfearcom] => C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23\datastorecyberfearcom.exe [2394112 2023-07-24] () [Файл не подписан]
HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ
HKLM-x32\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [3888664 2020-11-10] (Microsoft Windows -> Microsoft Corporation) <=== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\1cv8.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\1cv8c.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\1cv8s.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\agntsvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SecHealthUI.exe: [Debugger] svchost.exe
IFEO\SecurityHealthService.exe: [Debugger] svchost.exe
IFEO\SecurityHealthSystray.exe: [Debugger] svchost.exe
IFEO\shutdown.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\upfc.exe: [Debugger] svchost.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\windows\System32\Systray.exe
2025-01-06 14:53 - 2025-01-06 14:53 - 000000352 _____ C:\Users\WHYSPICE-SERVER\AppData\Local\README.txt
2025-01-06 14:50 - 2025-01-06 14:50 - 000000352 _____ C:\README.txt
2025-01-06 12:41 - 2025-01-06 12:41 - 000000352 _____ C:\Users\yana\AppData\Local\README.txt
2025-01-06 14:58 - 2024-08-21 00:11 - 000000000 ____D C:\Temp
2025-01-06 14:56 - 2024-05-12 07:41 - 000000000 __SHD C:\Users\yana\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23
2025-01-06 14:53 - 2023-06-10 18:47 - 000000000 __SHD C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23                                                                            
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

+

 

Эти файлы добавьте в отдельный архив с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание здесь.

2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe
2024-11-21 10:59 - 2009-07-22 08:08 - 742720768 ___SH C:\windows\Windows Driver Foundation (WUD).exe
2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd

 

Изменено пользователем safety
WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано

После перезагрузки снесло загрузчик... Сейчас через LiveCD загружусь, скину логи.

safety

safety

Опубликовано
Опубликовано (изменено)

Возможно у вас здесь нестандартная загрузка, потому я спросил про эти файлы: 

HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ
HKLM-x32\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [3888664 2020-11-10] (Microsoft Windows -> Microsoft Corporation) <=== ВНИМАНИЕ
Изменено пользователем safety
WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано (изменено)

Quarantine: ссылка удалена

Fixlog.txt

11 минут назад, safety сказал:

Возможно у вас здесь нестандартная загрузка, потому я спросил про эти файлы: 

HKLM\...\Winlogon: [Shell] explorer.exe,wudf.exe wtime.cmd <=== ВНИМАНИЕ
HKLM-x32\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [3888664 2020-11-10] (Microsoft Windows -> Microsoft Corporation) <=== ВНИМАНИЕ


Нет, все по стандарту. В c:\windows 3 файла появилось, которых я не видел wudf.exe, wtime.cmd и Windows Driver Foundation.exe (все 3 скрытые). Их раньше не было.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Скрипт выполнился успешно.

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"="Explorer.exe" => значение успешно восстановлен
HKLM\Software\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"="Explorer.exe" => значение успешно восстановлен

 

Карантин сейчас проверю.

Папку с карантином без пароля заархивировали? Надо с паролем virus, иначе облачный сервер не отдаст файл.

 

 

5 минут назад, safety сказал:

HKLM\Software\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"="Explorer.exe" => значение успешно восстановлен

Если проблема с загрузкой останется, восстановите в реестре здесь прежнее значение ключа.

"C:\Windows\SysWOW64\explorer.exe"

Изменено пользователем safety
WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано (изменено)

ссылка удалена

исправил

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Пробуйте на Яндекс-диск загрузить. Mail не отдает архив.

WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано (изменено)
11 минут назад, safety сказал:

Пробуйте на Яндекс-диск загрузить. Mail не отдает архив.

файл загружен, ссылка удалена

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Карантин скачал (Яндекс более "демократичен", предупредил что в архиве вируса, но скачать разрешил) но вы так и не установили пароль на папку карантина.

24 минуты назад, WhySpice сказал:

Нет, все по стандарту. В c:\windows 3 файла появилось, которых я не видел wudf.exe, wtime.cmd и Windows Driver Foundation.exe (все 3 скрытые). Их раньше не было.

тогда эти три файла добавьте в архив с паролем virus, архив так же загрузите на Яндекс диск и дайте здесь ссылку на скачивание.

2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe
2024-11-21 10:59 - 2009-07-22 08:08 - 742720768 ___SH C:\windows\Windows Driver Foundation (WUD).exe
2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd

Изменено пользователем safety
WhySpice

WhySpice

Опубликовано
  • Автор
Опубликовано
4 минуты назад, safety сказал:

Карантин скачал (Яндекс более "демократичен", предупредил что в архиве вируса, но скачать разрешил) но вы так и не установили пароль на папку карантина.

тогда эти три файла добавьте в архив с паролем virus, архив так же загрузите на Яндекс диск и дайте здесь ссылку на скачивание.

2024-11-21 10:59 - 2011-11-16 16:55 - 000005120 ___SH () C:\windows\wudf.exe
2024-11-21 10:59 - 2009-07-22 08:08 - 742720768 ___SH C:\windows\Windows Driver Foundation (WUD).exe
2024-11-21 10:59 - 2004-05-11 10:06 - 000014852 ___SH C:\windows\wtime.cmd

https://disk.yandex.ru/d/p_Dp8StiWs3mpg

safety

safety

Опубликовано
Опубликовано (изменено)
31 минуту назад, WhySpice сказал:

2024-11-21 10:59 - 2009-07-22 08:08 - 742720768 ___SH C:\windows\Windows Driver Foundation (WUD).exe

такой ответ:

Данный процесс является служебным и, скорее всего, какое-то сторонее приложение обращается к нему и загружает ваш процессор.

Другие два файла подозрительны, возможно они как раз этот файл и запускают для своей цели.

 

Сделайте новые логи FRST посмотрим что там сейчас после очистки

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sergey_arz
      День добрый, компьютер проектировщика заражен шифровальщиком
      Автор sergey_arz
      День добрый, компьютер проектировщика заражен шифровальщиком. Скан антивирусом не проводил как рекомендует записка, записки и файлы прилагаю.
      файлы и записка.rar Addition.txt FRST.txt
    • Andrey25112025
      Trojan.Encoder
      Автор Andrey25112025
      Здравствуйте. Прошу рассмотреть возможность расшифровать базы 1С на коммерческой основе, файлы зашифрованы в октябре 2024г. Ниже ссылка на два зашифрованных файла. https://disk.yandex.ru/d/KvsLkCD2K-ttNg
      https://disk.yandex.ru/d/LeB1EqVX7NOGJA
       
    • МаксимБ
      BACHOKTECHET Шифровальщик
      Автор МаксимБ
      Шифровальщик парализовал работу сервера терминалов. В реестре нашел записи, удалил их сразу.
      notepad.exe "C:\Users\Administrator\AppData\Local\README_SOLVETHIS.txt"
      "C:\Users\Administrator\AppData\Local\194E1F27-9FC8-0395-4FCD-F9086C4C4FA6\BACHOKTECHET.exe" 
      Прошу помощи в расшифровке.
      virus.zip Addition.txt FRST.txt
    • Елена Окишева
      Касперский обнаружил вирус HEUR:Trojan.Script.NetSup.gen, зашифровавший все документы
      Автор Елена Окишева
      Результаты дополнительного сканирования Farbar Recovery Scan Tool (x64) Версия: 11-10-2025
       
      Сообщение от модератора thyrex Перенесено из раздела Компьютерная помощь
      HowToRestoreFiles.txt
    • CrazyBlack
      Поймал шифровальщик forumkasperskyclubru@msg.ws
      Автор CrazyBlack
      Поймал шифровальщик, зашифровал все базы данных 1с  с подписью forumkasperskyclubru@msg.ws , 1Cv8.1CD.id[14F9299A-3398].[datastore@cyberfear.com].Elbie.ID-13A55AA4-1122-forumkasperskyclubru@msg.ws. Прикрепляю архив с зашифрованным файлом, логи с FRST. Инструкцию вымогателя не нашел. Прошу помочь 
      virus.rar Addition_15-10-2025 15.26.45.txt FRST_15-10-2025 15.14.31.txt
×
×
  • Создать...