Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

шифровальщик, возможно Proton/shinra

plak
 Поделиться

Рекомендуемые сообщения

plak Новичок

plak

Опубликовано
Опубликовано

один из компьютеров в сети подцепил шифровальщик. зашифрована масса файлов как на самом пк, так и на папках с общим доступом на другом пк (все имеют формат .1cxz). ос не запустилась при включении. восстановил загрузчик, ос работает, нашел сам .exe (название содержит текст из вымогателя), по почте из файла вымогателя нашел упоминание на гитхабе в файле shinra. nomoreransom и id-ransomware ничего не находят. ос на зараженном пк пока не трогаю, но он может понадобиться, поэтому пока есть время, могу попробовать что-то поискать на нем, если укажете где искать. прикладываю

1. результаты Farbar Recovery Scan Tool
2. зашифрованные файлы
3. шифровальщик

4. текст вымогателя

пароль на все файлы virus

shifr.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Судя по зашифрованным файлам, записке о выкупе, это действительно Proton/Shinra

https://www.virustotal.com/gui/file/8d1ba1ad1acf781dad37cffe7ee3c1bd7206719d2fae39beb803c6fc6142a645

логи проверю чуть позже.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
S3 AIDA64Driver; \??\C:\Users\Lena\AppData\Local\Temp\Rar$EXb12212.33648\AIDA64\kerneld.x64 [X] <==== ВНИМАНИЕ
S3 NEProtect; \??\C:\Games\Steam\steamapps\common\Once Human\NEProtect.sys [X]
S3 RTCore64; \??\C:\Program Files (x86)\MSI Afterburner\RTCore64.sys [X]
2025-04-17 13:01 - 2025-04-13 23:17 - 000516096 _____ C:\Users\Lena\Downloads\4C8BDB8FC1F02F77C03F717C9A7CBF28.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Елена9999999
      Вирус-шифровальщик. Возможно ли восстановить документы?
      Автор Елена9999999
      Здравствуйте, 
      На компьютер попал вирус. Теперь все файлы с расширением gxGxvJCWI. Везде требования об их выкупе. Можно ли как-то восстановить файлы? 
    • DIM_ZIM
      biobiorans шифровальщик- возможна ли раскодировка файлов
      Автор DIM_ZIM
      Словили шифровальщика. Файлы на сетевой шаре  закодированы и в названия имеют такой вид  ******** .xlsx.EMAIL=[biobiorans@gmail.com]ID=[****************]
       кто то сталкивался  с такой проблемой ?  ЧТО за вирус ( его название). Может быть имеется опыт по дешифровке?
       
      111.rar
    • Stone_Pickle
      Неизвестный вирус возможно в Program Files\Client Helper
      Автор Stone_Pickle
      Добрый день, на двух компах спустя два месяца после установки одной игрушки пошли проблемы, а именно повышенная нагрузка на ЦП\ГП и слетел PATCH(наверное) к ping arp ipconfig и прочим консольным командам.
      Касперский, Др.Веб, АВЗ под PE и на боевой системе ничего не нашли, подозреваю неизвестный софт по пути из заголовка C:\Program Files\Client Helper
      Windows 10, Windows 11 

      Прикладываю логи с двух компьютеров, буду признателен за любую помощь. Очень не хочется переустанавливать системы
      CollectionLog-2025.03.24-20.59.zip CollectionLog-2025.03.24-21.04.zip
    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • Игорь_Белов
      Шифровальщик AES
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
×
×
  • Создать...