Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Словили шифровальщика. Файлы на сетевой шаре  закодированы и в названия имеют такой вид  ******** .xlsx.EMAIL=[biobiorans@gmail.com]ID=[****************]

 кто то сталкивался  с такой проблемой ?  ЧТО за вирус ( его название). Может быть имеется опыт по дешифровке?

 

111.rar

Опубликовано (изменено)

Добавьте записку о выкупе,

+

Добавьте логи анализа системы при помощи Farbar Recovery Scan Tool.

6 часов назад, DIM_ZIM сказал:

Файлы на сетевой шаре  закодированы

Если зашифрованы файлы только на сетевой шаре, значит надо искать устройство, на котором был запуск шифровальщика. Логт FRST нужно делать именно на этом ПК, где был запуск.

 

Возможно, это Enmity, но необходимы логи для уточнения типа и записка о выкупе.

Точнее, это Proxima/BTC-azadi.

image.png

Изменено пользователем safety
Опубликовано

Добрый день предположительно атака была с WIN7, логи сняты  с него во вложении  так же во вложении текст сообщения.

Есть возможность сравнить файлы в исходном состоянии и закодированные ( возможно декодирование в этом случае более успешное)

LOG_text.rar

Опубликовано

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
Startup: C:\Users\Анюта\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AdobeUpdater.lnk [2012-02-12] <==== ВНИМАНИЕ
ShortcutAndArgument: AdobeUpdater.lnk -> C:\Windows\System32\cmd.exe =>  /c copy "C:\Users\E620~1\AppData\Local\Temp\h1" "C:\windows\system32\drivers\etc\hosts" /Y && attrib +H "C:\windows\system32\drivers\etc\hosts" && "C:\Users\E620~1\AppData\Local\Temp\x1.bat" <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
(Microsoft Windows -> Microsoft Corporation) -> -a "C:\Users\Анюта\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IEDSWOTJ\KTT9[1].exe" -d C:\Users\Анюта\Desktop <==== ВНИМАНИЕ
CHR HKLM\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci]
CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc]
CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
CHR HKLM\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif]
CHR HKLM\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme]
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd]
CHR HKLM\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf]
CHR HKLM\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk]
CHR HKU\S-1-5-21-3179685040-2251142065-1893839061-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Опубликовано

Любопытно было что то "НЕХОРОШЕ" на компе под WIN7 ( ему так и так переустановка)

сейчас еще загрузочной прогоню свежей.

Под нехорошим имеется ввиду шифровальщики.

Fixlog.txt

Опубликовано (изменено)

Тело шифровальщика скорее всего самоудалилось, оставив после себя много чего нехорошего. Записки о выкупе, зашифрованные файлы.

 

Батник какой то запускался отсюда:

C:\Users\E620~1\AppData\Local\Temp\x1.bat
Изменено пользователем safety
Опубликовано
1 час назад, a.r. сказал:

нам удалось заполучить тело

Создайте отдельную тему в разделе, там продолжим обсуждение.

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Дмитрий ddw
      Автор Дмитрий ddw
      Добрый день! Столкнулся с шифровальщиком. Зашифровались все файлы на сервере. ПОмогите с расшифровкой.
      Spf Ransmoware.txt sfr_sert_prod.cer.EMAIL=[owndecrypt@gmail.com]ID=[16E43E4BAEAA08AF].rar
    • gfond
      Автор gfond
      Здравствуйте. Зашифровали файлы, посмотрите пожалуйста что можно предпринять.
      Заражены в локалке два компьютера одновременно. Рабочая станция послужила источником заражения файлсервера под управлением Win10Pro. 
       Файлсервер после заражения перезагружался несколько раз, файлы вирусы касперским помещены в карантин(могу предоставить), однако шифрование произошло.
      Ниже логи согласно инструкции с файлсервера
       
      Docs_plus_redmeBlackField.zip FRST.txt Addition.txt
    • v0ster
      Автор v0ster
      Здравствуйте. Зашифровали файлы, посмотрите пжлста что можно предпринять.
      Desktop.rar FRST.txt Addition.txt
    • Андрей Ф
      Автор Андрей Ф
      Здравствуйте, дня 4 назад злоумышленники проникли в сеть, зашифровали все сервера ( даже с бэкапами) и пару рабочих станций. расширение файлов BlackFL3
      FRST.txt
      Addition.txt files.zip
    • galant
      Автор galant
      Добрый день, сегодня ночью зашифровали все сервера и виртуалки, а точнее диски где они находились, помогите, бекап, который был не в домене тоже зашифрован. Сеть отключил, где то эта фигня гуляет, т.к. локальный ПК пока один из 20 словил у меня на глазах тот же шифровальщик.BlackFL.zip
      ПОМОГИТЕ! я видимо уволен (
      BlackField-ReadMe.txt
      На сервере стоял лицензионный Касперский, 3 раза уде проверил все диски, ничего не находит!
      в зип архиве шифрованные файлы и требование, требование так же приложил отдельно
×
×
  • Создать...