proxima Взлом. Зашифровали файлы. Вымогают деньги. Предположительно Trojan.Encoder.37373

[Sergey Bondarev]

Здравствуйте!

Нас взломали, пока не пойму как, разбираюсь.

После себя хакеры подчистили все файлы и логи.

Отправляю Вам:

на пробу несколько зашифрованных файлов,

результаты работы программы Farbar Recovery Scan Tool

И письмо от хакеров.

Спасибо

_files.rar

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Winlogon: [LegalNoticeCaption] SrvMg Ransomware
HKLM\...\Winlogon: [LegalNoticeText]  - All your files are stolen and encrypted - Find ServMan64_Help.txt file - and follow instructions
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
IFEO\CompatTelRunner.exeSecurityHealthHost: [Debugger] Hotkey Disabled
IFEO\ConfigSecurityPolicy: [Debugger] Hotkey Disabled
IFEO\DlpUserAgent: [Debugger] Hotkey Disabled
IFEO\MpDefenderCoreService: [Debugger] Hotkey Disabled
IFEO\MpDlpCmd: [Debugger] Hotkey Disabled
IFEO\MpDlpService: [Debugger] Hotkey Disabled
IFEO\mpextms: [Debugger] Hotkey Disabled
IFEO\MRT.exe: [Debugger] Hotkey Disabled
IFEO\MsMpEng: [Debugger] Hotkey Disabled
IFEO\NisSrv: [Debugger] Hotkey Disabled
IFEO\SecurityHealthService: [Debugger] Hotkey Disabled
IFEO\SecurityHealthSystray: [Debugger] Hotkey Disabled
IFEO\smartscreen.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.CloudService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.MountService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.WmiServer.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.EndPoint.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.VssHwSnapshotProvider.exe: [Debugger] Hotkey Disabled
IFEO\VeeamDeploymentSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamHvIntegrationSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamNFSSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamTransportSvc.exe: [Debugger] Hotkey Disabled
IFEO\vmcompute.exe: [Debugger] Hotkey Disabled
IFEO\vmms.exe: [Debugger] Hotkey Disabled
IFEO\vmwp.exe: [Debugger] Hotkey Disabled
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 WinRing0_1_2_0; \??\C:\Users\Sbond.SBMR\AppData\Local\Temp\tmp8CD9.tmp [X] <==== ВНИМАНИЕ
2025-03-20 23:26 - 2025-03-20 23:26 - 004147254 _____ C:\ProgramData\1b.mp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[Sergey Bondarev]

1 час назад, safety сказал:

tmp8CD9.tmp

 

 

 

Ссылка на архив для скачивания:

https://disk.yandex.ru/d/0JcTnwD4h8A4HQ

Изменено 21 марта, 2025 пользователем safety

[safety]

@Sergey Bondarev,

зачем нужна эта простыня, когда можно добавить файл лога через вложение.

 

 

Изменено 21 марта, 2025 пользователем safety

[Sergey Bondarev]

Извините, невнимательно прочитал Ваше сообщение, исправлюсь. Сказывается бессонная ночь.

Fixlog.txt

[safety]

Проверьте ЛС.

-----------

К сожалению, не сможем помочь с расшифровкой файлов по данному типу шифровальщика.

Изменено 21 марта, 2025 пользователем safety