Перейти к содержанию

Зашифровали файлы расширение ANDRE


Рекомендуемые сообщения

Помогите в расшифровке. Файлы kl_to_1C.txt это оригинал файла, а kl_to_1C_crypt.txt ' это зашифрованный файл. andre 

может поможет в понимании как зашифровали. 

kvrt.jpg

Addition.txt Andrews_Help.txt FRST.txt kl_to_1c.txt kl_to_1c_crypt.txt

Ссылка на комментарий
Поделиться на другие сайты

Других зашифрованных файлов нет? В этом документе все таки есть личная информация.

Тем более, пара не нужна. Не поможет получить ключ. Добавьте только несколько зашифрованных файлов.

+

Добавьте файл secrtes.exe в архиве, с паролем virus

 

Этот процесс закрыть надо. возможно это вайпер, который чистит дисковое пространство на месте удаленных файлов.

С тем, чтобы не было возможно восстановить удаленные файлы.

(C:\Windows\SysWOW64\cmd.exe ->) () [Файл не подписан] C:\ProgramData\secrtes.exe

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Выполните очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
(C:\Windows\SysWOW64\cmd.exe ->) () [Файл не подписан] C:\ProgramData\secrtes.exe
IFEO\aakore.exe: [Debugger] Hotkey Disabled
IFEO\acp-update-controller.exe: [Debugger] Hotkey Disabled
IFEO\acrocmd.exe: [Debugger] Hotkey Disabled
IFEO\acroinst2.exe: [Debugger] Hotkey Disabled
IFEO\acronis_encrypt.exe: [Debugger] Hotkey Disabled
IFEO\acropsh.exe: [Debugger] Hotkey Disabled
IFEO\act.exe: [Debugger] Hotkey Disabled
IFEO\active_protection_service.exe: [Debugger] Hotkey Disabled
IFEO\active_protection_service_no_ic.exe: [Debugger] Hotkey Disabled
IFEO\adp-agent.exe: [Debugger] Hotkey Disabled
IFEO\adp-rest-util.exe: [Debugger] Hotkey Disabled
IFEO\adp-wu-tool.exe: [Debugger] Hotkey Disabled
IFEO\Analyzer.exe: [Debugger] Hotkey Disabled
IFEO\asz_helper.exe: [Debugger] Hotkey Disabled
IFEO\AutoPartNt.exe: [Debugger] Hotkey Disabled
IFEO\CompatTelRunner.exeSecurityHealthHost: [Debugger] Hotkey Disabled
IFEO\ConfigSecurityPolicy: [Debugger] Hotkey Disabled
IFEO\ConnectAgent.exe: [Debugger] Hotkey Disabled
IFEO\cred-store.exe: [Debugger] Hotkey Disabled
IFEO\cyber-desktop-service.exe: [Debugger] Hotkey Disabled
IFEO\cyber-protect-service.exe: [Debugger] Hotkey Disabled
IFEO\cyber-scripting-executor.exe: [Debugger] Hotkey Disabled
IFEO\device-sense.exe: [Debugger] Hotkey Disabled
IFEO\DlpUserAgent: [Debugger] Hotkey Disabled
IFEO\dml_dump.exe: [Debugger] Hotkey Disabled
IFEO\dml_host.exe: [Debugger] Hotkey Disabled
IFEO\dml_migration.exe: [Debugger] Hotkey Disabled
IFEO\dml_update.exe: [Debugger] Hotkey Disabled
IFEO\EdrCawl.exe: [Debugger] Hotkey Disabled
IFEO\EdrTest.exe: [Debugger] Hotkey Disabled
IFEO\emergency-updater.exe: [Debugger] Hotkey Disabled
IFEO\emergency_update_uninstaller.exe: [Debugger] Hotkey Disabled
IFEO\etl-tool.exe: [Debugger] Hotkey Disabled
IFEO\feedback-collector.exe: [Debugger] Hotkey Disabled
IFEO\file_protector_control.exe: [Debugger] Hotkey Disabled
IFEO\grpm-sync-unit.exe: [Debugger] Hotkey Disabled
IFEO\grpm.exe: [Debugger] Hotkey Disabled
IFEO\InputPersonalization.exe: [Debugger] Hotkey Disabled
IFEO\logmc.exe: [Debugger] Hotkey Disabled
IFEO\mi-monitoring.exe: [Debugger] Hotkey Disabled
IFEO\migrate_credvault.exe: [Debugger] Hotkey Disabled
IFEO\mip.exe: [Debugger] Hotkey Disabled
IFEO\mms.exe: [Debugger] Hotkey Disabled
IFEO\MmsMonitor.exe: [Debugger] Hotkey Disabled
IFEO\MpDefenderCoreService: [Debugger] Hotkey Disabled
IFEO\MpDlpCmd: [Debugger] Hotkey Disabled
IFEO\MpDlpService: [Debugger] Hotkey Disabled
IFEO\mpextms: [Debugger] Hotkey Disabled
IFEO\MRT.exe: [Debugger] Hotkey Disabled
IFEO\msinfo32.exe: [Debugger] Hotkey Disabled
IFEO\MsMpEng: [Debugger] Hotkey Disabled
IFEO\msp_port_checker_packed.exe: [Debugger] Hotkey Disabled
IFEO\network-isolation-unit.exe: [Debugger] Hotkey Disabled
IFEO\NisSrv: [Debugger] Hotkey Disabled
IFEO\openssl.exe: [Debugger] Hotkey Disabled
IFEO\permission_tool.exe: [Debugger] Hotkey Disabled
IFEO\pipanel.exe: [Debugger] Hotkey Disabled
IFEO\private-cloud-proxy.exe: [Debugger] Hotkey Disabled
IFEO\product_info.exe: [Debugger] Hotkey Disabled
IFEO\python.exe: [Debugger] Hotkey Disabled
IFEO\register_agent.exe: [Debugger] Hotkey Disabled
IFEO\remediation.exe: [Debugger] Hotkey Disabled
IFEO\schedarq.exe: [Debugger] Hotkey Disabled
IFEO\schedhlp.exe: [Debugger] Hotkey Disabled
IFEO\schedmgr.exe: [Debugger] Hotkey Disabled
IFEO\schedul2.exe: [Debugger] Hotkey Disabled
IFEO\SecurityHealthService: [Debugger] Hotkey Disabled
IFEO\SecurityHealthSystray: [Debugger] Hotkey Disabled
IFEO\service_process.exe: [Debugger] Hotkey Disabled
IFEO\sh-inventory.exe: [Debugger] Hotkey Disabled
IFEO\ShapeCollector.exe: [Debugger] Hotkey Disabled
IFEO\smartscreen.exe: [Debugger] Hotkey Disabled
IFEO\spawn.exe: [Debugger] Hotkey Disabled
IFEO\systeminfo.exe: [Debugger] Hotkey Disabled
IFEO\system_monitor_tool.exe: [Debugger] Hotkey Disabled
IFEO\TabTip.exe: [Debugger] Hotkey Disabled
IFEO\TabTip32.exe: [Debugger] Hotkey Disabled
IFEO\task-manager.exe: [Debugger] Hotkey Disabled
IFEO\tibxread.exe: [Debugger] Hotkey Disabled
IFEO\tib_mounter_monitor.exe: [Debugger] Hotkey Disabled
IFEO\tib_mounter_service.exe: [Debugger] Hotkey Disabled
IFEO\Uninstaller.exe: [Debugger] Hotkey Disabled
IFEO\updater.exe: [Debugger] Hotkey Disabled
IFEO\upgrade_tool.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.CloudService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.MountService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.WmiServer.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.EndPoint.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.VssHwSnapshotProvider.exe: [Debugger] Hotkey Disabled
IFEO\VeeamDeploymentSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamHvIntegrationSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamNFSSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamTransportSvc.exe: [Debugger] Hotkey Disabled
IFEO\vmcompute.exe: [Debugger] Hotkey Disabled
IFEO\vmms.exe: [Debugger] Hotkey Disabled
IFEO\vmwp.exe: [Debugger] Hotkey Disabled
IFEO\VsImmersiveActivateHelper.exe: [Debugger] Hotkey Disabled
IFEO\VSLauncher.exe: [Debugger] Hotkey Disabled
IFEO\vss_requestor.exe: [Debugger] Hotkey Disabled
IFEO\web_installer.exe: [Debugger] Hotkey Disabled
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [ohedcglhbbfdgaogjhcclacoccbagkjg]
S1 ehyqjpmw; \??\C:\Windows\system32\drivers\ehyqjpmw.sys [X]
S2 NPF; \??\C:\Program Files\iVMS-4200 Lite\Drivers\npf64.sys [X]
S1 usandmtc; \??\C:\Windows\system32\drivers\usandmtc.sys [X]
S3 vwifibus; \SystemRoot\System32\drivers\vwifibus.sys [X]
2025-02-13 08:30 - 2025-02-13 08:30 - 002098230 _____ C:\ProgramData\1b.mp
2025-02-13 08:30 - 2025-02-13 08:30 - 000006656 _____ C:\ProgramData\secrtes.exe
2025-02-13 03:42 - 2025-02-13 03:42 - 000003874 _____ C:\Users\администратор.KIA59\advanced_port_scanner_MAC.bin
2025-02-13 03:42 - 2025-02-13 03:42 - 000000015 _____ C:\Users\администратор.KIA59\advanced_port_scanner_Comments.bin
2025-02-13 03:42 - 2025-02-13 03:42 - 000000015 _____ C:\Users\администратор.KIA59\advanced_port_scanner_Aliases.bin
2025-02-13 03:38 - 2025-02-13 03:38 - 000001030 _____ C:\Users\Public\Desktop\Advanced Port Scanner.lnk
2025-02-13 03:38 - 2025-02-13 03:38 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced Port Scanner v2
2025-02-13 03:38 - 2025-02-13 03:38 - 000000000 ____D C:\Program Files (x86)\Advanced Port Scanner
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

47 минут назад, safety сказал:

Других зашифрованных файлов нет? В этом документе все таки есть личная информация.

Тем более, пара не нужна. Не поможет получить ключ. Добавьте только несколько зашифрованных файлов.

+

Добавьте файл secrtes.exe в архиве, с паролем virus

 

Этот процесс закрыть надо. возможно это вайпер, который чистит дисковое пространство на месте удаленных файлов.

С тем, чтобы не было возможно восстановить удаленные файлы.

(C:\Windows\SysWOW64\cmd.exe ->) () [Файл не подписан] C:\ProgramData\secrtes.exe

 

ёщё файла.rar

secrtes.rar

Изменено пользователем DennisKo
Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, safety сказал:

С тем, чтобы не было возможно восстановить удаленные файлы.

(C:\Windows\SysWOW64\cmd.exe ->) () [Файл не подписан] C:\ProgramData\secrtes.exe

https://www.virustotal.com/gui/file/8e3ff1907d973d91167c2d74ac8414496d7f430687eef52e3201721e01513761/detection

 

+ добавьте лог выполнения скрипта очистки.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, safety сказал:

https://www.virustotal.com/gui/file/8e3ff1907d973d91167c2d74ac8414496d7f430687eef52e3201721e01513761/detection

 

+ добавьте лог выполнения скрипта очистки.

https://drive.google.com/file/d/1U8PNOrUjMB0yit4psqK-d5t2AN5JKLAD/view?usp=sharing

Ссылка на комментарий
Поделиться на другие сайты

12 часов назад, safety сказал:

+ добавьте лог выполнения скрипта очистки.

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • tamerlan
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • Mep3aBEz
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
    • robocop1974
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
    • orbita06
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • Андрюс
      Автор Андрюс
      Получили по почте письмо, открыли его и сразу произошла шифровка всех документов. Прилагаем требуемые файлы
      x1.rar
      Скажите возможно ли расшифровать?
×
×
  • Создать...