Перейти к содержанию

Зашифровали диски

Гончаров Максим

Автор Гончаров Максим
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Гончаров Максим

Гончаров Максим

Опубликовано
Опубликовано

Добрый день. У меня такая же проблема, 4 компа уже не запускаются но есть еще те где смогу вытащить исполняемые файлы. Прошу помогите. 

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы.

Гончаров Максим

Гончаров Максим

Опубликовано
  • Автор
Опубликовано (изменено)

Кстати печать на принтер он вывел  сам

 

 

Изменено пользователем Гончаров Максим
Гончаров Максим

Гончаров Максим

Опубликовано
  • Автор
Опубликовано (изменено)

Вирусы переименованы из exe в txt, в противном случае их антивирус Касперского блокирует 

Изменено пользователем Гончаров Максим
safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

Возможно что будет запрошена перезагрузка системы,

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу. 

Start::
Task: {620EBC98-0AC7-4DC2-83D5-467A95423971} - \Microsoft\Windows\Setup\EOSNotify2 -> Нет файла <==== ВНИМАНИЕ
Task: {9611F35D-FE7E-4E39-A9D9-0CCD3D6096A8} - \ASP -> Нет файла <==== ВНИМАНИЕ
Task: {A5A6D1DC-F178-4557-A0F8-3D4971C33ABA} - \Microsoft\Windows\Setup\EOSNotify -> Нет файла <==== ВНИМАНИЕ
Task: {3D1D2F1B-7909-499D-B320-534536A19D3C} - System32\Tasks\PUpdate => C:\WINDOWS\system32\shutdown.exe [28160 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> -r -f -t 10
Task: {32D29993-3DCA-4973-9CB8-7A0D20E3D5D8} - System32\Tasks\Opera scheduled Autoupdate 1552306957 => C:\Users\User\AppData\Local\Programs\Opera\autoupdate\opera_autoupdate.exe [5956568 2025-10-09] (Opera Norway AS -> Opera Software)
Task: {BEBC0A8E-D72C-4B2F-85AB-2B40285EF152} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1587835184-344599862-3189331952-1120 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {59B44D29-FB1C-48D0-A952-399C702F2AC6} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1587835184-344599862-3189331952-1126 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {EB8246B3-20CC-4A27-91F8-7CE574DA1D3E} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1587835184-344599862-3189331952-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {0261C7B9-5F5B-453E-A668-92052AFDEBC7} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1587835184-344599862-3189331952-1120 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {ECDB4A27-8A08-402A-A092-C1E3424FCAB3} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1587835184-344599862-3189331952-1126 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {62544BCE-3E60-4FBC-9ECA-2A0EFC8C1F53} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1587835184-344599862-3189331952-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [ahnphcmhmhcjjcjhmnnjjlbmaeljecga]
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi]
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj]
2026-02-03 05:11 - 2026-02-03 05:11 - 000003188 _____ C:\WINDOWS\system32\Tasks\PUpdate
2026-02-03 04:57 - 2025-02-21 04:26 - 000000119 _____ C:\WINDOWS\Notepad-I.bat
2026-02-03 04:17 - 2026-02-03 18:35 - 000000000 ____D C:\Program Files\Mesh Agent
2026-02-03 04:16 - 2026-02-03 18:35 - 000000000 ____D C:\tmp
End::

Далее,

После завершения работы скрипта:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

+

Изменено пользователем safety
Гончаров Максим

Гончаров Максим

Опубликовано
  • Автор
Опубликовано

Перезагрузка без удаления данных файлов чревата блокировкой всех разделов. Один комп я уже запорол, к сожалению больше мне ошибаться нельзя.  Если интересно могу в личку скинуть IP с которого был брутфорс по RDP. 

 

На счёт инструкции, я постараюсь, но не факт что получится. Касперский  ( лицензия, сразу блокирует и удаляет эти файлы )

safety

safety

Опубликовано
Опубликовано (изменено)

В данном случае, я убрал из скрипта команду Reboot, чтобы не было автоматической перезагрузки системы.

 

Можно просто эти файлы и папки удалять, так как здесь команда начала шифрования, задача перезагрузки системы.

без перезагрузки. 

2026-02-03 05:11 - 2026-02-03 05:11 - 000003188 _____ C:\WINDOWS\system32\Tasks\PUpdate
2026-02-03 04:57 - 2025-02-21 04:26 - 000000119 _____ C:\WINDOWS\Notepad-I.bat
2026-02-03 04:17 - 2026-02-03 18:35 - 000000000 ____D C:\Program Files\Mesh Agent
2026-02-03 04:16 - 2026-02-03 18:35 - 000000000 ____D C:\tmp

Но предварительно имеет смысл создать архивные копии, возможно в папках есть информация к решению по разблокировке.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

По файлам:

Цитата

 

m.exe - Meshagent, для удаленного управления.

https://www.virustotal.com/gui/file/c927cd3c8b263eb2eac14f0a9c25349dbf7545c5e4c376f597725639b0c28dc2/detection

Notepad.exe - установщик дискриптора.

https://www.virustotal.com/gui/file/018d0b2af8479147def984a4c6a0db31703baacd87557d51271ad8c952f450b8/detection

Clear.bat - очистка журналов событий

Notepad-I.bat - запуск установки дисриптора+перезгрузка системы.

Task: {3D1D2F1B-7909-499D-B320-534536A19D3C} - System32\Tasks\PUpdate => C:\WINDOWS\system32\shutdown.exe [28160 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> -r -f -t 10

 

В c:\tmp посмотрите что есть, возможно среди удаленных надо поискать файлы из этой папки

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Вадим22222
      Шифровальщик @BeGood327
      Автор Вадим22222
      Сервера и рабочие станции зашифрованы, выдает окно с предложением обратится в телеграмм@BeGood327
    • itvasily
      Шифровальщик @BeGood327.
      Автор itvasily
      Всем доброго времени суток! Зашифровали все диски на сервере, помогите пожалуйста расшифровать. Такая ситуация, ранее диски на сервере шифровали программой VeraCrypt, и всё прекрасно заходилось под нашим паролем. Сеть доменная. В настоящее время злоумышленник через RDP подобрал пароль к серверу через программу подбора AccountRestore2, которую оставил как след, и поменял пароль на дисках. Оставили послание: FOR UNLOCK - CONTACT TELEGRAM @BeGood327 ENTER PASSWORD: 
      Сканирование логов прикрепляю во вложении, дополнительную информацию отпишу в ЛС.
      Addition.txt FRST.txt
    • Буп
      Шифровальщик @BeGood327
      Автор Буп
      Зашифровали данные у всех компьютеров и серверов, что были в сети. Доступа к файлами нет, диски зашифрованы. Сервера весят на "востоновление загрузки" и несколько на запросе пароля с сообщением:
      FOR UNLOCK - CONTACT TELEGRAMM @BeGood327
    • Александр Нефёдов
      Зашифрованы компьютеры в локальной сети. вымогатель DCHELP.ORG
      Автор Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • hiveliberty
      Шифровальщик зашифровал на уровне разделов
      Автор hiveliberty
      Доброго дня,
      Коллеги столкнулись вчера с интересным шифровальщиком

      Windows Server 2022
      Зашифрован целый раздел с системой. И судя по всему, даже не битлокером. Несколько отличается окно с предложением ввести пароль.
      С зашифрованного диска снял первые 4кб данных через dd с livecd debian.
      И тоже самое сделал для чисто установленной ос и тоже прикрепил для сравнения.
      Так же снял с загрузочного раздела BCD файл, который явно был изменён во время работы этой дряни.
      Файлы не исполняемые, но упаковал в архив с дефолтным паролем.
      Пробовал отправлять куски через Virustotal - ни одного срабатывания.
      Пока прикреплять не стал, согласно правилам)

      Доступа к диску, естественно, нет и файлы никакие не получить.
      Доступен только диск загрузчика и Recovery

      По большому счёту интересно, можно ли с этим что-то делать.
      И в целом, новое что-то?

      Коллеги связались с этими ребятами, те показали список файлов с паролями от каждого сервера.
      Те спросили имя домена, серверов или их айпишники.
      По имени домена предоставили список файлов с паролями, скрин.

×
×
  • Создать...