proxima Зашифровали файлы расширение ANDRE

[DennisKo]

Помогите в расшифровке. Файлы kl_to_1C.txt это оригинал файла, а kl_to_1C_crypt.txt ' это зашифрованный файл. andre 

может поможет в понимании как зашифровали. 

Addition.txt Andrews_Help.txt FRST.txt kl_to_1c.txt kl_to_1c_crypt.txt

[safety]

Других зашифрованных файлов нет? В этом документе все таки есть личная информация.

Тем более, пара не нужна. Не поможет получить ключ. Добавьте только несколько зашифрованных файлов.

+

Добавьте файл secrtes.exe в архиве, с паролем virus

 

Этот процесс закрыть надо. возможно это вайпер, который чистит дисковое пространство на месте удаленных файлов.

С тем, чтобы не было возможно восстановить удаленные файлы.

(C:\Windows\SysWOW64\cmd.exe ->) () [Файл не подписан] C:\ProgramData\secrtes.exe

Изменено 13 февраля пользователем safety

[safety]

Выполните очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
(C:\Windows\SysWOW64\cmd.exe ->) () [Файл не подписан] C:\ProgramData\secrtes.exe
IFEO\aakore.exe: [Debugger] Hotkey Disabled
IFEO\acp-update-controller.exe: [Debugger] Hotkey Disabled
IFEO\acrocmd.exe: [Debugger] Hotkey Disabled
IFEO\acroinst2.exe: [Debugger] Hotkey Disabled
IFEO\acronis_encrypt.exe: [Debugger] Hotkey Disabled
IFEO\acropsh.exe: [Debugger] Hotkey Disabled
IFEO\act.exe: [Debugger] Hotkey Disabled
IFEO\active_protection_service.exe: [Debugger] Hotkey Disabled
IFEO\active_protection_service_no_ic.exe: [Debugger] Hotkey Disabled
IFEO\adp-agent.exe: [Debugger] Hotkey Disabled
IFEO\adp-rest-util.exe: [Debugger] Hotkey Disabled
IFEO\adp-wu-tool.exe: [Debugger] Hotkey Disabled
IFEO\Analyzer.exe: [Debugger] Hotkey Disabled
IFEO\asz_helper.exe: [Debugger] Hotkey Disabled
IFEO\AutoPartNt.exe: [Debugger] Hotkey Disabled
IFEO\CompatTelRunner.exeSecurityHealthHost: [Debugger] Hotkey Disabled
IFEO\ConfigSecurityPolicy: [Debugger] Hotkey Disabled
IFEO\ConnectAgent.exe: [Debugger] Hotkey Disabled
IFEO\cred-store.exe: [Debugger] Hotkey Disabled
IFEO\cyber-desktop-service.exe: [Debugger] Hotkey Disabled
IFEO\cyber-protect-service.exe: [Debugger] Hotkey Disabled
IFEO\cyber-scripting-executor.exe: [Debugger] Hotkey Disabled
IFEO\device-sense.exe: [Debugger] Hotkey Disabled
IFEO\DlpUserAgent: [Debugger] Hotkey Disabled
IFEO\dml_dump.exe: [Debugger] Hotkey Disabled
IFEO\dml_host.exe: [Debugger] Hotkey Disabled
IFEO\dml_migration.exe: [Debugger] Hotkey Disabled
IFEO\dml_update.exe: [Debugger] Hotkey Disabled
IFEO\EdrCawl.exe: [Debugger] Hotkey Disabled
IFEO\EdrTest.exe: [Debugger] Hotkey Disabled
IFEO\emergency-updater.exe: [Debugger] Hotkey Disabled
IFEO\emergency_update_uninstaller.exe: [Debugger] Hotkey Disabled
IFEO\etl-tool.exe: [Debugger] Hotkey Disabled
IFEO\feedback-collector.exe: [Debugger] Hotkey Disabled
IFEO\file_protector_control.exe: [Debugger] Hotkey Disabled
IFEO\grpm-sync-unit.exe: [Debugger] Hotkey Disabled
IFEO\grpm.exe: [Debugger] Hotkey Disabled
IFEO\InputPersonalization.exe: [Debugger] Hotkey Disabled
IFEO\logmc.exe: [Debugger] Hotkey Disabled
IFEO\mi-monitoring.exe: [Debugger] Hotkey Disabled
IFEO\migrate_credvault.exe: [Debugger] Hotkey Disabled
IFEO\mip.exe: [Debugger] Hotkey Disabled
IFEO\mms.exe: [Debugger] Hotkey Disabled
IFEO\MmsMonitor.exe: [Debugger] Hotkey Disabled
IFEO\MpDefenderCoreService: [Debugger] Hotkey Disabled
IFEO\MpDlpCmd: [Debugger] Hotkey Disabled
IFEO\MpDlpService: [Debugger] Hotkey Disabled
IFEO\mpextms: [Debugger] Hotkey Disabled
IFEO\MRT.exe: [Debugger] Hotkey Disabled
IFEO\msinfo32.exe: [Debugger] Hotkey Disabled
IFEO\MsMpEng: [Debugger] Hotkey Disabled
IFEO\msp_port_checker_packed.exe: [Debugger] Hotkey Disabled
IFEO\network-isolation-unit.exe: [Debugger] Hotkey Disabled
IFEO\NisSrv: [Debugger] Hotkey Disabled
IFEO\openssl.exe: [Debugger] Hotkey Disabled
IFEO\permission_tool.exe: [Debugger] Hotkey Disabled
IFEO\pipanel.exe: [Debugger] Hotkey Disabled
IFEO\private-cloud-proxy.exe: [Debugger] Hotkey Disabled
IFEO\product_info.exe: [Debugger] Hotkey Disabled
IFEO\python.exe: [Debugger] Hotkey Disabled
IFEO\register_agent.exe: [Debugger] Hotkey Disabled
IFEO\remediation.exe: [Debugger] Hotkey Disabled
IFEO\schedarq.exe: [Debugger] Hotkey Disabled
IFEO\schedhlp.exe: [Debugger] Hotkey Disabled
IFEO\schedmgr.exe: [Debugger] Hotkey Disabled
IFEO\schedul2.exe: [Debugger] Hotkey Disabled
IFEO\SecurityHealthService: [Debugger] Hotkey Disabled
IFEO\SecurityHealthSystray: [Debugger] Hotkey Disabled
IFEO\service_process.exe: [Debugger] Hotkey Disabled
IFEO\sh-inventory.exe: [Debugger] Hotkey Disabled
IFEO\ShapeCollector.exe: [Debugger] Hotkey Disabled
IFEO\smartscreen.exe: [Debugger] Hotkey Disabled
IFEO\spawn.exe: [Debugger] Hotkey Disabled
IFEO\systeminfo.exe: [Debugger] Hotkey Disabled
IFEO\system_monitor_tool.exe: [Debugger] Hotkey Disabled
IFEO\TabTip.exe: [Debugger] Hotkey Disabled
IFEO\TabTip32.exe: [Debugger] Hotkey Disabled
IFEO\task-manager.exe: [Debugger] Hotkey Disabled
IFEO\tibxread.exe: [Debugger] Hotkey Disabled
IFEO\tib_mounter_monitor.exe: [Debugger] Hotkey Disabled
IFEO\tib_mounter_service.exe: [Debugger] Hotkey Disabled
IFEO\Uninstaller.exe: [Debugger] Hotkey Disabled
IFEO\updater.exe: [Debugger] Hotkey Disabled
IFEO\upgrade_tool.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.CloudService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.MountService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.WmiServer.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.EndPoint.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.VssHwSnapshotProvider.exe: [Debugger] Hotkey Disabled
IFEO\VeeamDeploymentSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamHvIntegrationSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamNFSSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamTransportSvc.exe: [Debugger] Hotkey Disabled
IFEO\vmcompute.exe: [Debugger] Hotkey Disabled
IFEO\vmms.exe: [Debugger] Hotkey Disabled
IFEO\vmwp.exe: [Debugger] Hotkey Disabled
IFEO\VsImmersiveActivateHelper.exe: [Debugger] Hotkey Disabled
IFEO\VSLauncher.exe: [Debugger] Hotkey Disabled
IFEO\vss_requestor.exe: [Debugger] Hotkey Disabled
IFEO\web_installer.exe: [Debugger] Hotkey Disabled
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [ohedcglhbbfdgaogjhcclacoccbagkjg]
S1 ehyqjpmw; \??\C:\Windows\system32\drivers\ehyqjpmw.sys [X]
S2 NPF; \??\C:\Program Files\iVMS-4200 Lite\Drivers\npf64.sys [X]
S1 usandmtc; \??\C:\Windows\system32\drivers\usandmtc.sys [X]
S3 vwifibus; \SystemRoot\System32\drivers\vwifibus.sys [X]
2025-02-13 08:30 - 2025-02-13 08:30 - 002098230 _____ C:\ProgramData\1b.mp
2025-02-13 08:30 - 2025-02-13 08:30 - 000006656 _____ C:\ProgramData\secrtes.exe
2025-02-13 03:42 - 2025-02-13 03:42 - 000003874 _____ C:\Users\администратор.KIA59\advanced_port_scanner_MAC.bin
2025-02-13 03:42 - 2025-02-13 03:42 - 000000015 _____ C:\Users\администратор.KIA59\advanced_port_scanner_Comments.bin
2025-02-13 03:42 - 2025-02-13 03:42 - 000000015 _____ C:\Users\администратор.KIA59\advanced_port_scanner_Aliases.bin
2025-02-13 03:38 - 2025-02-13 03:38 - 000001030 _____ C:\Users\Public\Desktop\Advanced Port Scanner.lnk
2025-02-13 03:38 - 2025-02-13 03:38 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced Port Scanner v2
2025-02-13 03:38 - 2025-02-13 03:38 - 000000000 ____D C:\Program Files (x86)\Advanced Port Scanner
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[DennisKo]

47 минут назад, safety сказал:

Других зашифрованных файлов нет? В этом документе все таки есть личная информация.

Тем более, пара не нужна. Не поможет получить ключ. Добавьте только несколько зашифрованных файлов.

+

Добавьте файл secrtes.exe в архиве, с паролем virus

 

Этот процесс закрыть надо. возможно это вайпер, который чистит дисковое пространство на месте удаленных файлов.

С тем, чтобы не было возможно восстановить удаленные файлы.

(C:\Windows\SysWOW64\cmd.exe ->) () [Файл не подписан] C:\ProgramData\secrtes.exe

 

ёщё файла.rar

secrtes.rar

Изменено 13 февраля пользователем DennisKo

[safety]

2 часа назад, safety сказал:

С тем, чтобы не было возможно восстановить удаленные файлы.

(C:\Windows\SysWOW64\cmd.exe ->) () [Файл не подписан] C:\ProgramData\secrtes.exe

https://www.virustotal.com/gui/file/8e3ff1907d973d91167c2d74ac8414496d7f430687eef52e3201721e01513761/detection

 

+ добавьте лог выполнения скрипта очистки.

Изменено 13 февраля пользователем safety

[DennisKo]

2 часа назад, safety сказал:

https://www.virustotal.com/gui/file/8e3ff1907d973d91167c2d74ac8414496d7f430687eef52e3201721e01513761/detection

 

+ добавьте лог выполнения скрипта очистки.

https://drive.google.com/file/d/1U8PNOrUjMB0yit4psqK-d5t2AN5JKLAD/view?usp=sharing

[safety]

12 часов назад, safety сказал:

+ добавьте лог выполнения скрипта очистки.

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[DennisKo]

6 часов назад, safety сказал:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

FRST.txt

[safety]

Fixlog.txt

[DennisKo]

58 минут назад, safety сказал:

Fixlog.txt

Ой, извините

Fixlog.txt

[safety]

о самом важном:

 

К сожалению, не сможем помочь с расшифровкой файлов по данному типу шифровальщика.

+

проверьте ЛС.