Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

GWAD1

KHAN
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано
7 минут назад, kir7777 сказал:

Тоже самое, прошу помощи.

Создайте отдельную тему, не пишите в чужой теме.

safety

safety

Опубликовано
Опубликовано (изменено)

Шифрование точно было в это системе?

 

Эти файлы заархивируйте с паролем virus, добавьте архив в ваше сообщение.

Цитата

2025-03-18 11:13 - 2025-03-18 10:10 - 000953344 __RSH (Microsoft) C:\Users\boss7\AppData\Roaming\tAPdeJm.exe
2025-09-17 14:56 - 2025-09-17 14:56 - 001441280 _____ () C:\Users\buh\AppData\Roaming\Current.exe
2025-09-08 12:58 - 2025-09-15 11:13 - 005392804 _____ (Oleg N. Scherbakov) C:\Users\buh\AppData\Roaming\encryptor.exe
2025-09-04 12:43 - 2025-09-04 12:43 - 001706496 _____ () C:\Users\buh\AppData\Roaming\MemberName.exe
2025-09-04 12:43 - 2025-09-04 12:13 - 003340056 _____ () C:\Users\buh\AppData\Roaming\Name.exe

 

 

Изменено пользователем safety
KHAN

KHAN

Опубликовано
  • Автор
Опубликовано

@safety точно было.

Это лог из восстановленной системы до шифрования.

safety

safety

Опубликовано
Опубликовано (изменено)

Т.е. систему откатили на одну-две недели назад, до момента шифрования.

Так понимаю, что логи FRST вы сделали уже из восстановленной системы.

Файлы, указанные в списке можете добавить в один архив?

Изменено пользователем safety
KHAN

KHAN

Опубликовано
  • Автор
Опубликовано

Точнее, на два дня назад до полного шифрования.

safety

safety

Опубликовано
Опубликовано (изменено)

Эти файлы, значит уже были в системе до шифрования.

Вы уверены, что откатили систему на безопасную точку восстановления?

Для проверки, заархивируйте файлы с паролем virus, добавьте архив в ваше сообщение.

  Цитата

2025-03-18 11:13 - 2025-03-18 10:10 - 000953344 __RSH (Microsoft) C:\Users\boss7\AppData\Roaming\tAPdeJm.exe
2025-09-17 14:56 - 2025-09-17 14:56 - 001441280 _____ () C:\Users\buh\AppData\Roaming\Current.exe
2025-09-08 12:58 - 2025-09-15 11:13 - 005392804 _____ (Oleg N. Scherbakov) C:\Users\buh\AppData\Roaming\encryptor.exe
2025-09-04 12:43 - 2025-09-04 12:43 - 001706496 _____ () C:\Users\buh\AppData\Roaming\MemberName.exe
2025-09-04 12:43 - 2025-09-04 12:13 - 003340056 _____ () C:\Users\buh\AppData\Roaming\Name.exe

Изменено пользователем safety
KHAN

KHAN

Опубликовано
  • Автор
Опубликовано (изменено)

Выложил архив на диск

архив загружен, ссылка удалена

 

 

Изменено пользователем safety
архив загружен, ссылка удалена
safety

safety

Опубликовано
Опубликовано

Хорошо, чуть позже проверю, напишу по результату.

safety

safety

Опубликовано
Опубликовано (изменено)

По файлам:

 

Name.exe - это установщик шифровальщика.

https://www.virustotal.com/gui/file/c67a6f15a02c4821b2688cf6c4b6c0b1c5f20d89bdc2d21766907678714ff137/details

MemberName.vexe -  дополнительный инструмент

https://www.virustotal.com/gui/file/8016dd74da7f89827a8bbde63dee5dc27c3ee52e409ef823bcb166132e9c5e69/detection

encryptor.exe - файл связан с шифровальщиком Pay2Key

https://www.virustotal.com/gui/file/233b048135cc39a62cfd9256b47c1f5a8591e04b52324543a5e95406a6eacc00/detection

Current.exe - вредоносный модуль.

https://www.virustotal.com/gui/file/3807f58440fabf0e05841a72ae27a3141e1a317b27484c4ef345b7ca78738b8b

 

этот файл еще проверьте на Virustotal.com, возможно он скрытый

2025-03-18 11:13 - 2025-03-18 10:10 - 000953344 __RSH (Microsoft) C:\Users\boss7\AppData\Roaming\tAPdeJm.exe

 

Изменено пользователем safety
  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-09-17 14:56 - 2025-09-17 14:56 - 001441280 _____ () C:\Users\buh\AppData\Roaming\Current.exe
2025-09-08 12:58 - 2025-09-15 11:13 - 005392804 _____ (Oleg N. Scherbakov) C:\Users\buh\AppData\Roaming\encryptor.exe
2025-09-04 12:43 - 2025-09-04 12:43 - 001706496 _____ () C:\Users\buh\AppData\Roaming\MemberName.exe
2025-09-04 12:43 - 2025-09-04 12:13 - 003340056 _____ () C:\Users\buh\AppData\Roaming\Name.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Михаил Опр
      Файлы зашифрованы с расширением .ech8e после оригинального
      Автор Михаил Опр
      Зашифровались файлы на компьютере и некоторых общих папках в сети. Расширение добавилось после оригинального .ech8e. Можно что-то сделать?
      Addition.txt FRST.txt Virus.rar
    • Carbamazepine
      enkacrypt Mimic/Pay2Key Ransomware
      Автор Carbamazepine
      Всем привет, постигла участь один из компьютеров подхватить enkacrypt. 
      Имеет смысл попытаться спасти систему? Установлен kaspersky premium.
      Пароль на архив virus - там ransom-нота и 2 примера зашифрованных файлов. 
       
      Addition.txt FRST.txt example.zip
    • Artloky
      Вирус шифровальщик GWADE1
      Автор Artloky
      Все файлы зашифрованы вирусом с расширением ".GWAD1".
      Архив с логами и файлами во вложении.
      Помогите расшифровать пожалуйста
      first_log+шифрованные файлы.rar
    • D-Shaq
      Вирус шифровальщик GWADE1
      Автор D-Shaq
      Добрый день! проблему не решили? не поверить таже проблема в этот же день 25.09.25
       
      Сообщение от модератора thyrex Перенесено из темы
    • Vfhbyf
      Все файлы формата GWADE1
      Автор Vfhbyf
      Добрый день! Все файлы на компе после загрузки письма из электронной почты в формате GWADE1
       
      Все ваши файлы украдены! Оригинальные файлы остались у вас, но были зашифрованы.
      Чтобы восстановить ваши файлы и предотвратить их публикацию в общем доступе, зайдите на сайт:
      https://client.pay2key.com/?user_id=KhTWs8UimNF2fU8AvYkOSLSY2-WfiVZXo6rujIFzlAA*gwad1
      Перед оплатой вы сможете отправить до 3 тестовых файлов для бесплатной расшифровки.
      После оплаты система автоматически выдаст инструмент для полного восстановления всех ваших файлов.
      В случае оплаты, наши копии файлов будут удалены без публикации.
      Если оплата не поступит в течение недели, мы начнем продажу ваших данных в даркнете.
       
       
×
×
  • Создать...