Перейти к содержанию

Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?

Evgeniy Alekseevich
 Поделиться

Рекомендуемые сообщения

Evgeniy Alekseevich

Evgeniy Alekseevich

Опубликовано
Опубликовано

05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.

Файлы имеют расширение helpo2.

Может кто сталкивался и сможет помочь ?

Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.

Также прикладываю файлы от  Farbar Recovery Scan Tool.

Может кто сможет помочь....

С Уважением, Евгений.

 

 

Addition.txt FRST.txt НаборФайлов5шт.zip

safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
() [Файл не подписан] [Файл уже используется] C:\Windows\SysWOW64\syswow\syswow64.exe
() [Файл не подписан] C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\D19658DBA790F7B35FB1BB928EAF75AA.exe
HKLM\...\Run: [Rmc-LFC65Y] => C:\Windows\SysWOW64\syswow\syswow64.exe [615424 2025-08-06] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ
HKLM\...\Run: [Everything] => C:\Program Files\Everything\Everything.exe [2265104 2024-08-01] (voidtools -> voidtools)
HKLM\...\Policies\Explorer\Run: [Rmc-LFC65Y] => C:\Windows\SysWOW64\syswow\syswow64.exe [615424 2025-08-06] () [Файл не подписан] [Файл уже используется]
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
HKU\S-1-5-21-585105921-1911826014-2128548296-500\...\Run: [Rmc-LFC65Y] => C:\Windows\SysWOW64\syswow\syswow64.exe [615424 2025-08-06] () [Файл не
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\D19658DBA790F7B35FB1BB928EAF75AA.exe [2025-08-06] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
S3 IObitUnlocker; \??\C:\PROGRA~2\IObit\IOBITU~1\IObitUnlocker.sys [X]
2025-08-06 09:15 - 2025-08-06 09:15 - 007987254 _____ C:\ProgramData\D19658DBA790F7B35FB1BB928EAF75AA.bmp
HKLM\...\exefile\shell\open\command: C:\Users\Администратор\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ
2025-08-05 20:36 - 2025-08-06 16:06 - 000041472 _____ C:\Windows\svchost.com
2025-08-05 20:00 - 2025-08-05 23:41 - 000000000 ____D C:\ProgramData\IObit
2025-08-05 20:00 - 2025-08-05 23:41 - 000000000 ____D C:\Program Files (x86)\IObit
2025-08-05 20:00 - 2025-08-05 20:00 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker
C:\Windows\SysWOW64\syswow\syswow64.exe
2025-08-05 20:12 - 2025-08-05 20:12 - 000000000 _RSHD C:\Windows\SysWOW64\syswow
2025-08-05 20:08 - 2025-08-06 02:49 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Everything
2025-08-05 20:00 - 2025-08-06 08:10 - 000000000 ____D C:\Program Files\Everything
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\D19658DBA790F7B35FB1BB928EAF75AA.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Evgeniy Alekseevich

Evgeniy Alekseevich

Опубликовано
  • Автор
Опубликовано (изменено)

файл загружен, ссылка удалена

ссылка на Quarantine

а файл  Fixlog.txt почему то не сохранился в каталоге из которого запускался FRST, - он открылся, написал, что будет сохранен, но после закрытия в каталоге его не было....

Изменено пользователем safety
файл загружен, ссылка удалена
safety

safety

Опубликовано
Опубликовано (изменено)

судя по карантину скрипт был выполнен

D19658DBA790F7B35FB1BB928EAF75AA.exe - тело шифровальщика Proton:

https://www.virustotal.com/gui/file/557b4ae48dfcf6bc66a6cba54703d6011d1c851232da281b2418453faf64000c?nocache=1

syswow64.exe - бэкдор - A Variant Of Win64/Rescoms.A

https://www.virustotal.com/gui/file/93121ef8643f732ab7f9a2ec03095503c42e996ea44a11c96dc46dfda1498a52/detection

 

С расшифровкой файлов по данному типу шифровальщка, к сожалению, не сможем помочь.

Сэмпл возможно был заражен вирусом Neshta, так как в системе был файл svchost.com

Лучше полностью просканировать системный диск с помощью загрузочного диска KRD

После проверки системы, сделайте новые логи FRST для контроля.

 

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Zero69
      Файлы заблокировал вирус-шифровальщик .dbx5
      Автор Zero69
      Добрый день!
       
      Столкнулись с проблемой шифровки всех файлов на ПК. 
      Системные файлы не затронуты - только пользовательские.
      Пробовал расшифровать на сайте nomoreransom.org, но безуспешно.
      Снять логи с ПК сейчас не возможно, в архив приложил 2 зашифрованных файла и txt файл с требованием выкупа.
      virus.zip
    • ToRaMoSoV
      Вирус шифровальщик [reopening2025@gmail.com].lsjx
      Автор ToRaMoSoV
      Здравствуйте, сегодня утром обнаружил, что мой компьютер с windows 10 был атакован вирусом шифровальщиком. Главная учётная запись (админ) была основной для использования удалённого управления через rdp. Я пробросив порт через роутер и купив статику, попал под брутфорс. Меня взломали в течении пары часов(атака началась в 23 по мск, а закончилась в 1-2 часу). По результатам которой все файлы были зашифрованы, службы виндовс отключены, а пароль от админки утерян. На рабочем столе учетки юзера я обнаружил записку (фото приложил). Также прикладываю фото файла. Архив и сам вирус я не обнаружил (читал похожие случаи)
      l!lAll of your files are encrypted!!! To decrypt them send e-mail to this address: Write the ID in the email subject
       
      ID: A6D959082E20B73AC6B59F6EBB230948
       
      Email 1: reopening2025@gmail.com Telegram: @Rdp21
       
      To ensure decryption you can send 1-2 files less than 1MB we will de
       
      We have backups of all your files. If you dont pay us we will sell a and place them in the dark web with your companys domain extension.
       
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLE WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.

    • SкаZочNик
      Шифровальщик .lsjx
      Автор SкаZочNик
      Здравствуйте!
      Заражение компьютера произошло еще 7-го сентября вечером через взлом RDP. Комп попал в руки только сейчас. К расширениям всех файлов добавился вот такой хвост: .[reopening2025@gmail.com].lsjx
      Шифровальщик все еще активен в системе, т.к. после перезагрузки зашифровал свежие файлы. Есть незашифрованные копии этих свежих файлов. В результате действия вируса на зараженной машине был удален Kaspersky Small Office Security. Также на зараженном ПК обнаружен файл с именем, полностью совпадающим с ID в письме о выкупе. Причем этот файл настойчиво пытается запуститься и требует разрешения на запуск. На другом, назараженном ПК KES этот файл определяет как Trojan-Ransom.Win32.Generic. В случае необходимости архив с файлом-вирусом, а также с незашифрованными копиями файлов также могу приложить..
      Files.7z FRST.txt
    • dma164
      Вирус-шифровальщик
      Автор dma164
      Здравствуйте!
      Путем взлома RDP были зашифрованы файлы на машине, а также на доступных ей сетевых дисках, получили расширение .lsjx. При этом на машине был удален KES через KAVRemover, установлены приложения для сканирования портов.
      После проверки CureIT было найдено множество файлов, зараженных вирусом Neshta. В автозагрузке был обнаружен файл шифровальщика (?), классифицируемый Касперским как Trojan-Ransom.Win32.Generic и с именем, совпадающим с ID в  письме . Лог CureIT 11 Мб- не прикладывается

      FRST.txt файлы.zip
    • Alex19863332
      Шифровальщик .de7
      Автор Alex19863332
      Добрый день! Поймали точно такой же вирус. Помогите) 🙏 Shadow Explorer-не помог( просто Desktop.7zпустое окно, как будь-то нет ни одного файла)
      Addition.txt FRST.txt
×
×
  • Создать...