Перейти к содержанию

Azot

sysano
 Share

Рекомендуемые сообщения

sysano Новичок

sysano

Опубликовано
Опубликовано (изменено)

Добрый день, уважаемые коллеги. Столкнулся с проблемой, ответа на который не нашёл на форуме, но подобные темы уже создавались. Шифровальщик Azot зашифровал базу данных 1С, а резервное копирование, к сожалению, никто не делал. Антивирус обнаружил вредоносное ПО, и успешно удалил, но это не помогло. Высылаю данные.

Не могу отправить файлы с расширением azot, но отправил PDF файл (убрал из него это расширение что бы отправилось). Я на связи.

read.txt

 

 

Изменено пользователем safety
Забыл фото приложить
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Добавьте несколько зашифрованных файлов в архиве (без пароля) + логи FRST.

Если файл шифровальщика сохранился в карантине, добавьте файл из карантина в архиве с паролем virus

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
sysano Новичок

sysano

Опубликовано
  • Автор
Опубликовано (изменено)

В архивы тоже переместили. Высылаю вам логи. Архивы будут чуть позже. Они весят по 1,5 ГБ

FRST.txt Addition.txt

Изменено пользователем sysano
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Архивы пока не нужны

В этих файлах что?

2025-02-21 02:47 - 2025-02-21 02:48 - 000000100 _____ C:\Users\Admin_Main\Documents\Пароль.txt

2025-02-21 08:20 - 2025-02-21 08:20 - 000000026 _____ C:\Users\Admin_Main\Downloads\123.txt

Цитата

Антивирус обнаружил вредоносное ПО, и успешно удалил, но это не помогло

Из карантина можете файл достать с детектом шифровальщика?

Ссылка на комментарий
Поделиться на другие сайты
sysano Новичок

sysano

Опубликовано
  • Автор
Опубликовано

В файле 123.txt написано: Starting...    Finished!

В файле Пароль.txt написано: Пароль от архивов с базами данный получите после оплаты

(Я не опечатался, это цитата)

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Сканировали и удаляли файл шифровальщика чем?

этим?

2025-02-21 08:08 - 2025-02-21 08:09 - 008415088 _____ (ESET) C:\Users\Admin_Main\Downloads\esetonlinescanner.exe

или этом? Что это?
2025-02-21 08:07 - 2025-02-21 08:10 - 297681560 _____ C:\Users\Admin_Main\Downloads\kshmo1da.exe

лог сканирования можно показать?

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
sysano Новичок

sysano

Опубликовано
  • Автор
Опубликовано

Сканирование было произведено изначально обычным Windows Defender, и он же его и удалил. Файл я восстановил, но вопрос куда... Сейчас ищу восстановленный файл. Он не писал откуда его именно удалял.

Насчёт второго файла - это Doctor Web, но логов в нём нет.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Возможно сюда же и восстановил:

Цитата

Date: 2025-02-21 02:41:01

Имя: Ransom:MSIL/FileCoder.MX!MTB
ИД: 2147921690
Серьезность: Критический
Категория: Программа-шантажист
Путь: file:_C:\$Recycle.Bin\S-1-5-21-3842607153-2767087855-1975311492-1009\$R9T1MS5.exe
Начало обнаружения: Локальный компьютер
Тип обнаружения: Конкретный
Источник обнаружения: Защита в реальном времени:

Проверьте есть он в корзине или нет.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Жаль, тело шифровальщика бывает необходимо, если станет вопрос по возможности расшифровать файлы или нет.

+

проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...