Перейти к содержанию

Вирус шифровальщик, помогите расшифровать файлы. Расширение WwaNPUAD5F4uG5ySBCut6Zug6ICEkhGSUcX_eK8Nlk

Gulzat
 Поделиться

Рекомендуемые сообщения

Gulzat

Gulzat

Опубликовано
Опубликовано

Скорее всего вирус проник через RDP, распространился по доступным сетевым папкам, затронул только диск D, диск С не трогал. В готовых на сайте дешифровщиках не виден. Спасибо.

Addition.txt FRST.txt virus.7z

safety

safety

Опубликовано
Опубликовано

Скорее всего запуск шифровальщика был на другом устройстве. На данном устройстве нет следов запуска, кроме зашифрованных файлов  на общем ресурсе.

 

Проверяйте на другим ПК, где мог быть запуск шифровальщика.  В папке c:\temp должен быть файл session.tmp

Логи FRST нужны с устройства, где был запуск шифровальщика.

Gulzat

Gulzat

Опубликовано
  • Автор
Опубликовано

Благодарю за ответ. 
Мог ли удалиться лог запуска из за чистки пк kaspersky removal tool?

и еще антивирус defender встроенный виндоус нашел три угрозы

safety

safety

Опубликовано
Опубликовано (изменено)

если систему чистили в KVRT добавьте папку reports в архиве без пароля. Эта папка должна быть  в каталоге

C:\KVRT2020_DATA

2025-09-12 22:31 - 2025-09-12 22:31 - 000000000 ____D C:\KVRT2020_Data

 

То что было найдено в Windef не связано с шифровальщиком.

 

И это проверьте:

Цитата

В папке c:\temp должен быть файл session.tmp

врядли антивирусы будут реагировать на этот файл. А он является индикатором запуска шифровальщика в системе.

Изменено пользователем safety
Gulzat

Gulzat

Опубликовано
  • Автор
Опубликовано
В 13.09.2025 в 05:16, safety сказал:

Логи FRST нужны с устройства, где был запуск шифровальщика.

Файлы загрузили 

FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по логам на этом устройстве не было запуска шифровальщиков. Нет зашифрованных файлов.

Проверяйте на другим ПК, где мог быть запуск шифровальщика.  В папке c:\temp должен быть файл session.tmp

Изменено пользователем safety
  • 3 недели спустя...
Gulzat

Gulzat

Опубликовано
  • Автор
Опубликовано

Здравствуйте! Прикрепляю файлы с зараженного компьютера, где был запущен шифровальщик. Файл session.tmp присутствует.

FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Хорошо. проверю сейчас логи, напишу скрипт очистки.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
CHR Extension: (Нет имени) - C:\Users\root\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2020-03-21] [UpdateUrl:0] <==== ВНИМАНИЕ
S2 RustDesk; "C:\Program Files\RustDesk\RustDesk.exe" --service [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S0 oem-drv64; system32\DRIVERS\oem-drv64.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2025-09-11 23:47 - 2025-09-12 15:29 - 000000980 _____ C:\How-to-decrypt.txt
2025-09-11 23:47 - 2025-09-12 15:07 - 000000000 ____D C:\temp
2025-09-11 23:46 - 2025-09-11 23:46 - 000000000 ____D C:\Users\ures681\AppData\Roaming\Process Hacker 2
2025-09-11 23:41 - 2025-09-12 00:00 - 000000000 ____D C:\Program Files\Process Hacker 2
2025-09-11 23:41 - 2025-09-11 23:41 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2025-09-11 13:54 - 2025-09-11 13:54 - 000000430 _____ C:\Windows\system32\u1.bat
2025-09-12 15:29 - 2023-12-19 13:58 - 000000000 __SHD C:\Users\ures681\AppData\Local\0457A684-7AA3-7FD1-A450-4BD23E9A0FBD
2025-09-12 15:28 - 2022-10-01 19:00 - 000000000 __SHD C:\Users\root\AppData\Local\0457A684-7AA3-7FD1-A450-4BD23E9A0FBD
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • neo2005
      Шифровальщик Zimmer
      Автор neo2005
      Добрый день! Нужна помощь в борьбе с шифровальщиком Zimmer. Много важных файлов на компьютере и теперь все зашифровано( Файлы и логи приложены.
      Addition.txt FRST.txt INFO_TO_DECRYPT_ZIMMER1488.txt Отписка от экспертцентр.txt 322595800092833_20240707_197905.PDF
    • Ired
      Шифровальщик forumkasperskyclubru@msg.ws
      Автор Ired
      Здравствуйте.
      Поймали эту заразу.
      К сожалению, перед обращением на форум прошелся утилитами Kaspersky Rescue Disk и DrWeb LiveDisk.
      Письма от злоумышленников не обнаружил, возможно, найдется на еще одной, попавшей под удар, машине.
      Логи FRST прилагаю. Также во вложении архив с парой зашифрованных файлов под паролем virus2025
      Прошу посильной помощи.
      FRST_logs.7z EncryptedFiles.7z
    • Carbamazepine
      enkacrypt Mimic/Pay2Key Ransomware
      Автор Carbamazepine
      Всем привет, постигла участь один из компьютеров подхватить enkacrypt. 
      Имеет смысл попытаться спасти систему? Установлен kaspersky premium.
      Пароль на архив virus - там ransom-нота и 2 примера зашифрованных файлов. 
       
      Addition.txt FRST.txt example.zip
    • tireks
      Вирус шифровальщик, расширение .encrypted
      Автор tireks
      Добрый день, сервер был взломан и заражен шифровальщиком, просим помощи в очистке системы от вируса и расшифровки файлов если это возможно.
      отчеты FRST и архив (ransomware.zip) вероятного шифровальщика прикрепили.
      FRST.txt Addition.txt ransomware.zip
    • Dmitry.K
      Прошу помочь с расшифровкой файлов, вероятно elpaco-team
      Автор Dmitry.K
      Здравствуйте, все файлы на рабочем сервере зашифрованы, выглядят примерно вот так:
      Предыдущий админ бэкапов не делал
       
      PUBID_1417896-20210406_ВыгрузкаЗагрузкаИзбранного.epf.WWWWW-vuSRP-NeSC-8GVhkGC2CoADRAf6mTQYNKCc4TqWbgzY
       
      Прикладываю лог frst и архив с файлами
      Addition.txt encrypted_samples.7z FRST.txt
×
×
  • Создать...