Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифровали диски

Гончаров Максим

Автор Гончаров Максим
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Гончаров Максим

Гончаров Максим

Опубликовано
Опубликовано

Добрый день. У меня такая же проблема, 4 компа уже не запускаются но есть еще те где смогу вытащить исполняемые файлы. Прошу помогите. 

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы.

Гончаров Максим

Гончаров Максим

Опубликовано
  • Автор
Опубликовано (изменено)

Кстати печать на принтер он вывел  сам

 

 

Изменено пользователем Гончаров Максим
Гончаров Максим

Гончаров Максим

Опубликовано
  • Автор
Опубликовано (изменено)

Вирусы переименованы из exe в txt, в противном случае их антивирус Касперского блокирует 

Изменено пользователем Гончаров Максим
safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

Возможно что будет запрошена перезагрузка системы,

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу. 

Start::
Task: {620EBC98-0AC7-4DC2-83D5-467A95423971} - \Microsoft\Windows\Setup\EOSNotify2 -> Нет файла <==== ВНИМАНИЕ
Task: {9611F35D-FE7E-4E39-A9D9-0CCD3D6096A8} - \ASP -> Нет файла <==== ВНИМАНИЕ
Task: {A5A6D1DC-F178-4557-A0F8-3D4971C33ABA} - \Microsoft\Windows\Setup\EOSNotify -> Нет файла <==== ВНИМАНИЕ
Task: {3D1D2F1B-7909-499D-B320-534536A19D3C} - System32\Tasks\PUpdate => C:\WINDOWS\system32\shutdown.exe [28160 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> -r -f -t 10
Task: {32D29993-3DCA-4973-9CB8-7A0D20E3D5D8} - System32\Tasks\Opera scheduled Autoupdate 1552306957 => C:\Users\User\AppData\Local\Programs\Opera\autoupdate\opera_autoupdate.exe [5956568 2025-10-09] (Opera Norway AS -> Opera Software)
Task: {BEBC0A8E-D72C-4B2F-85AB-2B40285EF152} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1587835184-344599862-3189331952-1120 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {59B44D29-FB1C-48D0-A952-399C702F2AC6} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1587835184-344599862-3189331952-1126 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {EB8246B3-20CC-4A27-91F8-7CE574DA1D3E} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1587835184-344599862-3189331952-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {0261C7B9-5F5B-453E-A668-92052AFDEBC7} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1587835184-344599862-3189331952-1120 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {ECDB4A27-8A08-402A-A092-C1E3424FCAB3} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1587835184-344599862-3189331952-1126 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {62544BCE-3E60-4FBC-9ECA-2A0EFC8C1F53} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1587835184-344599862-3189331952-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [ahnphcmhmhcjjcjhmnnjjlbmaeljecga]
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi]
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj]
2026-02-03 05:11 - 2026-02-03 05:11 - 000003188 _____ C:\WINDOWS\system32\Tasks\PUpdate
2026-02-03 04:57 - 2025-02-21 04:26 - 000000119 _____ C:\WINDOWS\Notepad-I.bat
2026-02-03 04:17 - 2026-02-03 18:35 - 000000000 ____D C:\Program Files\Mesh Agent
2026-02-03 04:16 - 2026-02-03 18:35 - 000000000 ____D C:\tmp
End::

Далее,

После завершения работы скрипта:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

+

Изменено пользователем safety
Гончаров Максим

Гончаров Максим

Опубликовано
  • Автор
Опубликовано

Перезагрузка без удаления данных файлов чревата блокировкой всех разделов. Один комп я уже запорол, к сожалению больше мне ошибаться нельзя.  Если интересно могу в личку скинуть IP с которого был брутфорс по RDP. 

 

На счёт инструкции, я постараюсь, но не факт что получится. Касперский  ( лицензия, сразу блокирует и удаляет эти файлы )

safety

safety

Опубликовано
Опубликовано (изменено)

В данном случае, я убрал из скрипта команду Reboot, чтобы не было автоматической перезагрузки системы.

 

Можно просто эти файлы и папки удалять, так как здесь команда начала шифрования, задача перезагрузки системы.

без перезагрузки. 

2026-02-03 05:11 - 2026-02-03 05:11 - 000003188 _____ C:\WINDOWS\system32\Tasks\PUpdate
2026-02-03 04:57 - 2025-02-21 04:26 - 000000119 _____ C:\WINDOWS\Notepad-I.bat
2026-02-03 04:17 - 2026-02-03 18:35 - 000000000 ____D C:\Program Files\Mesh Agent
2026-02-03 04:16 - 2026-02-03 18:35 - 000000000 ____D C:\tmp

Но предварительно имеет смысл создать архивные копии, возможно в папках есть информация к решению по разблокировке.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

По файлам:

Цитата

 

m.exe - Meshagent, для удаленного управления.

https://www.virustotal.com/gui/file/c927cd3c8b263eb2eac14f0a9c25349dbf7545c5e4c376f597725639b0c28dc2/detection

Notepad.exe - установщик дискриптора.

https://www.virustotal.com/gui/file/018d0b2af8479147def984a4c6a0db31703baacd87557d51271ad8c952f450b8/detection

Clear.bat - очистка журналов событий

Notepad-I.bat - запуск установки дисриптора+перезгрузка системы.

Task: {3D1D2F1B-7909-499D-B320-534536A19D3C} - System32\Tasks\PUpdate => C:\WINDOWS\system32\shutdown.exe [28160 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> -r -f -t 10

 

В c:\tmp посмотрите что есть, возможно среди удаленных надо поискать файлы из этой папки

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • SergeyGMS
      Шифровальщик @BeGood327 diskcryptor
      Автор SergeyGMS
      Здравствуйте. Столкнулся с ситуацией, когда все серверы и рабочие станции в доменной сети были зашифрованы. Некоторые серверы работают и не были зашифрованы, но на них нет того, что мне нужно. При загрузке системы появляется сообщение FOR UNLOCK - CONTACT TELEGRAMM @BeGood327.
       
    • Александр Нефёдов
      Зашифрованы компьютеры в локальной сети. вымогатель DCHELP.ORG
      Автор Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • Инфлюенсер
      Данные зашифрованные с помощью diskCriptor
      Автор Инфлюенсер
      Добрый день, произошел взлом системы. Пострадали пк и сервера, злоумышленник зашифровал данные. Так же попросил выкуп. для теста дал пароль от одного из дисков с помощью которого удалось расшифровать диск с которого собраны логи по запросу, в данный момент диски заблокированы. Требуется ли с помощью программы R.Saver   попытаться вытащить какиет-о файлы, так как в настоящий момент  диски являются роу
      Addition.txtFRST.txt
    • RuslanSaetov
      Server locked, файловая система raw
      Автор RuslanSaetov
      Здравствуйте! Одним прекрасным днем компьютер выдает сообщение SERVER LOCKED Contact by email: dhelp@mailfence.com or Telegram @Dchelp.
      При подключении диска к другому компу, диск C отображает файловую систему raw и просит отформатировать. Программой GetDataBack 5 нашел файловую систему и сами файлы. Большинство файлов открываются нормально, но кроме тяжелых 30Gb+. Сами файлы с виду не зашифрованы. Нужны базы SQL.
      В папке tmp нашел исполняемые файлы. Можно ли с этими данными как-то наладить MFT?
      пароль на архив virus 

      DHELP.zip
    • paradox197755
      Зашифрованы диски на сервере.
      Автор paradox197755
      Зашифрованы диски на сервере.

×
×
  • Создать...