Перейти к содержанию

ШИФРУЕТ ФАЙЛЫ 9F2B

DISPAWN
 Поделиться

Рекомендуемые сообщения

DISPAWN

DISPAWN

Опубликовано
Опубликовано

В АРХИВЕ ПРИМЕР ,ЧТО ДЕЛАТЬ?

Release.txt.rar

 

Сообщение от модератора thyrex

Перенесено в нужный раздел

DISPAWN

DISPAWN

Опубликовано
  • Автор
Опубликовано

Здраствуйте, пк не отключал на выходные, сев за него увидел что все файлы одинаковые и не открываются и записка о вымогательстве.

FRST.txt Addition.txt Desktop.rar

 

Сообщение от модератора thyrex

Темы объединены

safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\...\Run: [browser.exe] => C:\Users\Елена Н\AppData\Local\HowToRestoreFiles.txt [3696 2025-08-08] () [Файл не подписан]
HKLM\...\Run: [enc-build.exe] => C:\Users\Елена Н\AppData\Local\HowToRestoreFiles.txt [3696 2025-08-08] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] All your files have been stolen! You still have the original files, but they have been encrypted.
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer_Service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_w32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_x64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
Startup: C:\Users\Елена Н\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\InheritanceFlags.vbs [2025-08-07] () [Файл не подписан]
Startup: C:\Users\Елена Н\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TypeId.vbs [2025-08-07] () [Файл не подписан]
AlternateShell:  <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2025-08-08 12:07 - 2025-08-08 19:07 - 000003696 _____ C:\Users\Елена Н\AppData\Local\HowToRestoreFiles.txt
2025-08-08 12:07 - 2025-08-08 19:03 - 000000000 ____D C:\temp
2025-08-08 12:06 - 2025-08-08 13:33 - 005351042 _____ (Oleg N. Scherbakov) C:\Users\Елена Н\AppData\Roaming\encryptor.exe
2025-08-09 02:08 - 2024-11-12 07:40 - 000000000 __SHD C:\Users\Елена Н\AppData\Local\BEE6758E-F327-E2B2-61BC-F522FEE8BC0C
2025-08-08 12:06 - 2025-08-08 13:33 - 005351042 _____ (Oleg N. Scherbakov) C:\Users\Елена Н\AppData\Roaming\encryptor.exe
2025-08-07 14:06 - 2025-08-07 14:06 - 001592088 _____ () C:\Users\Елена Н\AppData\Roaming\InheritanceFlags.exe
2025-08-07 14:06 - 2025-04-29 11:08 - 003237144 _____ () C:\Users\Елена Н\AppData\Roaming\TypeId.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
DISPAWN

DISPAWN

Опубликовано
  • Автор
Опубликовано (изменено)

https://disk.yandex.ru/d/vqFOkYvR8JlVUg

 

при добавлении в архив заругался дефендр

 

это не единственный ПК на котором есть зашифрованные файлы

 

Fixlog.txt

Изменено пользователем DISPAWN
safety

safety

Опубликовано
Опубликовано (изменено)

Скрипт дважды прогоняли? Fixlog.txt так понимаю - это результат повторного выполнения скрипта.

 

по файлам:

browser.exe

ESET: A Variant Of Win32/Filecoder.Mimic.D.gen

Kaspersky: HEUR:Trojan-Ransom.Win32.Generic

DrWeb: Undetected

https://www.virustotal.com/gui/file/39758214df0b282f4c245094943ee3a8181eb0c18c794ce6356448a0710b645f/detection

 

encryptor.exe /установщик pay2keys/:

ESET: BAT/Kryptik.AF

Kaspersky: UDS:Trojan-Ransom.Win32.Generic

DrWeb: PowerShell.Dropper.54

https://www.virustotal.com/gui/file/6b1c18e25d7ada0cc5f05862b3429a016b681b610e773cf362f0b0c91dfa4a78?nocache=1

 

Цитата

при добавлении в архив заругался дефендр

Покажите, пожалуйста, детекты  Defender, которые были при архивировании папки карантина FRST

 

Цитата

это не единственный ПК на котором есть зашифрованные файлы

проверьте, есть ли на этих устройствах папка (она может иметь атрибут скрытый):

BEE6758E-F327-E2B2-61BC-F522FEE8BC0C

или в C:\temp есть ли файл session.tmp размером 32байта.

Изменено пользователем safety
DISPAWN

DISPAWN

Опубликовано
  • Автор
Опубликовано

ДОБАВИЛ ИОБРАЖЕНИЕ ДЕФЕНДЕРА, НЕ НАШОЛ BEE6758E-F327-E2B2-61BC-F522FEE8BC0C

или в C:\temp НЕТ ТАКОЙ ПАПКИ

 

Изображение WhatsApp 2025-08-11 в 14.22.26_e8331e77.jpg

safety

safety

Опубликовано
Опубликовано

Да, понятно какие файлы были прибиты дефендером и не попали в архив с карантином.

Если session.tmp нет в папке C:\temp на других устройствах, значит запуска шифровальщика не было на этих устройствах.

Зашифрованы были только файлы которые были в общем доступе. Шифрование было по сети с ПК, где этот запуск был, т.е. на том устройстве, которое мы сегодня зачистили.

+

проверьте ЛС.

 

safety

safety

Опубликовано
Опубликовано (изменено)

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Михаил Опр
      Файлы зашифрованы с расширением .ech8e после оригинального
      Автор Михаил Опр
      Зашифровались файлы на компьютере и некоторых общих папках в сети. Расширение добавилось после оригинального .ech8e. Можно что-то сделать?
      Addition.txt FRST.txt Virus.rar
    • Carbamazepine
      enkacrypt Mimic/Pay2Key Ransomware
      Автор Carbamazepine
      Всем привет, постигла участь один из компьютеров подхватить enkacrypt. 
      Имеет смысл попытаться спасти систему? Установлен kaspersky premium.
      Пароль на архив virus - там ransom-нота и 2 примера зашифрованных файлов. 
       
      Addition.txt FRST.txt example.zip
    • Artloky
      Вирус шифровальщик GWADE1
      Автор Artloky
      Все файлы зашифрованы вирусом с расширением ".GWAD1".
      Архив с логами и файлами во вложении.
      Помогите расшифровать пожалуйста
      first_log+шифрованные файлы.rar
    • D-Shaq
      Вирус шифровальщик GWADE1
      Автор D-Shaq
      Добрый день! проблему не решили? не поверить таже проблема в этот же день 25.09.25
       
      Сообщение от модератора thyrex Перенесено из темы
    • Vfhbyf
      Все файлы формата GWADE1
      Автор Vfhbyf
      Добрый день! Все файлы на компе после загрузки письма из электронной почты в формате GWADE1
       
      Все ваши файлы украдены! Оригинальные файлы остались у вас, но были зашифрованы.
      Чтобы восстановить ваши файлы и предотвратить их публикацию в общем доступе, зайдите на сайт:
      https://client.pay2key.com/?user_id=KhTWs8UimNF2fU8AvYkOSLSY2-WfiVZXo6rujIFzlAA*gwad1
      Перед оплатой вы сможете отправить до 3 тестовых файлов для бесплатной расшифровки.
      После оплаты система автоматически выдаст инструмент для полного восстановления всех ваших файлов.
      В случае оплаты, наши копии файлов будут удалены без публикации.
      Если оплата не поступит в течение недели, мы начнем продажу ваших данных в даркнете.
       
       
×
×
  • Создать...