Перейти к содержанию

Шифровальщик. Предположительно из семейства Dharma/Crysis

copypaste
 Поделиться

Рекомендуемые сообщения

copypaste

copypaste

Опубликовано
Опубликовано

Доброго дня. 

 

Коснулась напасть сия.

Шифровщика по окончанию злодеяния нет. 

Во вложении:

1. Логи FRST

2. Результат проверки KVRT

3. Пример зашифрованных файлов + KEY файл и письмо Decryption

 

Спасибо заранее за уделенное время.

crypt.rar FRST.rar KVRT2020_Data.rar

safety

safety

Опубликовано
Опубликовано

Шифрование точно на этом устройстве было? следов шифрования нет. Нет записки, нет зашифрованных файлов в каталогах.

Логи FRST надо передлать от имени Администратора.

Запущено с помощью dolgikh.a.i (ВНИМАНИЕ: Пользователь не является Администратором) на PC-41 (Gigabyte Technology Co., Ltd. H87-D3H) (22-08-2025 15:38:02)

 

safety

safety

Опубликовано
Опубликовано (изменено)

Здесь есть шифрование.

Проверьте ЛС.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

HKLM-x32\...\Run: [] => [X]
HKLM\...\RunOnce: [39e74cf6-55fa-4ef5-8891-52b7d423d803] => "C:\Users\logout\AppData\Local\Temp\{c343837d-a2f4-4073-83b8-bc371587bb2a}\39e74cf6-55fa-4ef5-8891-52b7d423d803.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\...\RunOnce: [fd2222d5-356a-4c71-8488-12a615617cf9] => "C:\Users\logout\AppData\Local\Temp\{cabda475-14dc-4a60-a390-5d9dbd8848c2}\fd2222d5-356a-4c71-8488-12a615617cf9.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\...\RunOnce: [06657843-f143-4718-8ab0-d72327c12f3f] => "C:\Users\logout\AppData\Local\Temp\{25b928a8-f41e-4f3a-b0e2-73a6725a843a}\06657843-f143-4718-8ab0-d72327c12f3f.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\...\RunOnce: [f406c3d8-1b49-48a5-856f-68cc6d91e24f] => "C:\Users\logout\AppData\Local\Temp\{588f5803-fecf-4cf0-b768-c1548b36d3d2}\f406c3d8-1b49-48a5-856f-68cc6d91e24f.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\...\RunOnce: [ed11e0b7-12fd-4d64-8c57-52c0655bf5db] => "C:\Users\logout\AppData\Local\Temp\{aa4d5a3e-d028-461a-8a0b-e1c2647c20a3}\ed11e0b7-12fd-4d64-8c57-52c0655bf5db.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\...\RunOnce: [6e0a54ee-1056-4236-939c-e2c090a9c082] => "C:\Users\logout\AppData\Local\Temp\{15c0d5a5-7a0d-48d0-9ed5-97bbba1573ee}\6e0a54ee-1056-4236-939c-e2c090a9c082.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {44BB9BAB-DAB1-47FC-B21B-9FBB2D7D6897} - System32\Tasks\DuJlWwvV => C:\Windows\system32\cmd.exe [289792 2024-09-03] (Microsoft Windows -> Microsoft Corporation) -> /C powershell.exe -noni -nop -w 1 -enc IABjAC4AZQB4AGUAIAAtAGYAdQBsAGwAaQBuAHMAdABhAGwAbAA= > \Windows\Temp\tvOuZI 2>&1 <==== ВНИМАНИЕ
Task: {FFCF7671-8203-4365-82CB-A21FD88F4D68} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1945624045-1199837794-592266151-1104 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {63F8B78C-978E-4C0B-805D-4421EDDF56DB} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1945624045-1199837794-592266151-3389 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {BF32F856-2799-45CE-9044-866C666919E8} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2898191034-3396799920-1222824162-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {76667198-4A30-4B9A-AA44-0B6B48BEAF56} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1945624045-1199837794-592266151-1104 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {B940DB65-16D4-4BDC-9918-A3D415B83E16} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1945624045-1199837794-592266151-3389 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {CC2228A3-19A5-4366-A828-5E40E3E9467F} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-2898191034-3396799920-1222824162-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {2521FB41-73E2-4A3E-8F54-50BC95489C7D} - System32\Tasks\OneDrive Startup Task-S-1-5-21-1945624045-1199837794-592266151-1104 => C:\Users\logout\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\OneDriveLauncher.exe  /startInstances (Нет файла)
Task: {AF025E4C-7165-43BE-980B-D1237E5BEB78} - System32\Tasks\WymQbhCl => C:\Windows\system32\cmd.exe [289792 2024-09-03] (Microsoft Windows -> Microsoft Corporation) -> /C c.exe -fullinstall > \Windows\Temp\CKnGAJ 2>&1 <==== ВНИМАНИЕ
2025-08-22 14:19 - 2025-08-22 14:22 - 000000000 ____D C:\Users\logout\Desktop\1
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • trambler3
      Поймал шифровальщика (предположительно Trojan.Encoder.37448)
      Автор trambler3
      1. ОС переустановлена т.к. необходимо рабочее место.
      2. Атака произошла ночью в выходной день через компьютер пользователя. Сервер 1С не смогли зашифровать, только общедоступные папки (шару). Однако на сервере касперский нашел ransomware (к сожалению в панике удалил даже не записав точное название), так же почти на всех пользовательских компах был файл , определяющийся как вирус "AA_v3". При попытке восстановления с помощью, например, recuva видно удаленный файл, но он повреждён. Теневых копий нет. 
      F.7z
    • Марко32
      Предположительно Майнер
      Автор Марко32
      Начал замечать, что без ничего видеокарта работает на 20 процентов. Но когда открываю диспетчер задач оно сразу же пропадает (но видно на долю секунду).
      Сделал анализ в FRST. Пожалуйста, помогите.
      Addition.txt FRST.txt
    • DanilDanil
      Поймал на VM шифровальщик. Предположительно Mimic (N3ww4v3)
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
    • Tarhunchik
      Зашифрованы файлы шифровальщиком, предположительно Lockbit 3.0 Ransom
      Автор Tarhunchik
      Здравствуйте. В процессе работы, через RDP, зависла сессия, после чего сервер был перезагружен. После загрузки получили сообщение, что файлы зашифрованы. Зашифрованными оказались файлы 1С баз, файловые и sql, их копии, 1С обработки, doc, xls и многие другие форматы. Причём, форматы pdf, docx, xlsx, почти не были зашифрованы - как - то, очень, выборочно! Также, были убиты службы sql, сервер 1С и ещё, с дюжину других, отвечающих за теневое копирование, логирование, бэкапы. После этого, система была просканирована, свежими KVRT, Cureit, avz и перезагружена. Затем была выполнена команда sfc /scannow, которая показала, что все файлы, на 100% в порядке.
      Addition.txt FRST.txt Зашифрованные.7z
    • Nibug
      Предположительно Lockbit зашифровал файлы
      Автор Nibug
      KxJiaPR.rar10 Мая неизвестными путями проник шифровальщик и заблочил большое количество файлов. Утилиты касперского не могут определить тип шифра и тем более расшифровать файлы 1.txt
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
×
×
  • Создать...