c77l Помощь с шифровальщиком

[Sniv]

Здравствуйте. Помогите пожалуйста с детекцией шифровальщика и расшифровкой файлов. Зашифрованные файлы в hex всегда начинаются на 

AB BC CD DE EF F0 01 50

есть текстовый файл #How-To-Decrypt-Files.txt - содержание:

Your files have been stolen and encrypted.
Contact us right now to restore your files.

> Email: anubisa397@gmail.com
> Telegram: @Scaro397
> Decryption ID: 16A24BC4

Warning:
> Act quickly! delay means higher payment.

 

создался диск a: и b:

 

 

 

Примеры зашифрованных файлов в прикрепе

encrypted.zip

[Sandor]

Здравствуйте!

 

Прочтите и выполните в полном объеме Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

[Sniv]

FRST.txt Addition.txt

[safety]

Если систему сканировали KVRT или Cureit добавьте в архиве без пароля отчеты о сканировании.

[Sniv]

больше ничего не нашлось (и то это видимо оптимизатор памяти с патчем)

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
AlternateDataStreams: C:\Users\sniv\Application Data:9e1811b514796fb3fd8d48513cdb9024 [394]
AlternateDataStreams: C:\Users\sniv\Application Data:a4a7135d5fc196220c4b1dfe38793a5a [394]
AlternateDataStreams: C:\Users\sniv\Application Data:cbb0660c87f0ef13f0dc1af5fc07272a [394]
AlternateDataStreams: C:\Users\sniv\Desktop\28Fz5clW.ShYrzili:CursorPos [890]
AlternateDataStreams: C:\Users\sniv\Desktop\28Fz5clW.ShYrzili:LineFlags [866]
AlternateDataStreams: C:\Users\sniv\Downloads\mu5s5sh6.ShYrzili:CursorPos [890]
AlternateDataStreams: C:\Users\sniv\Downloads\mu5s5sh6.ShYrzili:LineFlags [866]
AlternateDataStreams: C:\Users\sniv\AppData\Roaming:9e1811b514796fb3fd8d48513cdb9024 [394]
AlternateDataStreams: C:\Users\sniv\AppData\Roaming:a4a7135d5fc196220c4b1dfe38793a5a [394]
AlternateDataStreams: C:\Users\sniv\AppData\Roaming:cbb0660c87f0ef13f0dc1af5fc07272a [394]
HKLM\...\Winlogon: [Shell] explorer.exe, "C:\Users\sniv\AppData\Local\google\chrome\user data\wzone.exe" "C:\Users\sniv\AppData\Local\google\chrome\user data\wtime.cmd" wlocale.cmd <=== ВНИМАНИЕ
HKLM-x32\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [4895400 2025-03-13] (Microsoft Windows -> Microsoft Corporation) <=== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2542828904-2753567277-3989175415-1001\...\Run: [MiTeC InfoBar] => [X]
IFEO\taskmgr.exe: [Debugger] "C:\PROC\PROCEXP64.EXE"
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Task: {0D9C361F-C7DD-4EC5-9DED-F581EF2C31A4} - \System Cache Optimizer ST -> Нет файла <==== ВНИМАНИЕ
S3 amigendrv64; \??\C:\Users\sniv\Downloads\gp727rdx\AfuWin64\amigendrv64.sys [X]
S3 GENERICDRV; \??\C:\Users\sniv\Downloads\gp727rdx\AfuWin64\BgtWin64\32\AfuWin64\amifldrv64.sys [X]
S4 klbackupdisk; \SystemRoot\system32\DRIVERS\klbackupdisk.sys [X]
S4 klbackupflt; system32\DRIVERS\klbackupflt.sys [X]
U4 npcap_wifi; отсутствует ImagePath
S3 UCOREW64; \??\C:\Users\sniv\Downloads\gp727rdx\AfuWin64\BgtWin64\32\UCOREW64.SYS [X]
2025-11-30 02:12 - 2025-11-30 02:12 - 006220854 _____ C:\ProgramData\16A24BC4.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[Sniv]

Fixlog.txt после выполнения скрипта и перезагрузки

Fixlog.txt

[safety]

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено Четверг в 02:45 пользователем safety

[Sniv]

понятно, спасибо

[Sniv]

Удалось найти .exe который делает всё шифрование и пр - это может помочь? Могу загрузить сюда

[safety]

Загрузите файл в архиве с паролем virus, файл поможет уточнить схему шифрования.

Запуск файла мог быть через задачу "Windows Update ALPHV"

 

Изменено Четверг в 04:42 пользователем safety