Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик (перебор rdp)

R-r-r
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

В этой папке посмотрите что осталось

C:\Users\Administrator\Desktop\64

Заархивируйте папку с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание здесь.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {57194EE6-A7CA-44A7-A9F1-B909AE4B81B7} - System32\Tasks\Windows Update ALPHV => "C:\Users\Administrator\Desktop\64\64.exe"  __DETACHED__ (Нет файла)
2026-06-13 19:40 - 2026-06-13 19:44 - 000011942 ____C C:\#README!.hta
2026-06-13 19:21 - 2026-06-13 19:44 - 000003310 ____C C:\Windows\system32\Tasks\Windows Update ALPHV
C:\Users\Administrator\Desktop\64
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

R-r-r

R-r-r

Опубликовано
  • Автор
Опубликовано (изменено)

AVZ говорит: C:\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonX64\Microsoft Shared\OFFICE16\1033\osmia32.msi/{MS-OLE}/\MsiDigitalSignatureEx >>>>> Trojan.DiskEraser.32  

это загружается и живое из автозагрузки общего профиля: 

***

а папка C:\Users\Administrator\Desktop\64 самозашифровалась:

***

Изменено пользователем safety
Файл загружен, ссылка удалена
R-r-r

R-r-r

Опубликовано
  • Автор
Опубликовано

тут сидит: C:\program data\microsoft\windows\start menu\Programs\startup\ дата файла 28.05.2026 15:27    Похоже сохраняет шифрованный ключ для каждого файла в начале файла..  

Fixlog.txt

safety

safety

Опубликовано
Опубликовано (изменено)
9 часов назад, R-r-r сказал:

это загружается и живое из автозагрузки общего профиля: 

****

В логе FRST этого нет.

Цитата

тут сидит: C:\program data\microsoft\windows\start menu\Programs\startup\

В логе FRST этого нет.

 

Добавьте дополнительно образ автозапуска.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

-------------

по файлу:

Скорее всего Sauron

https://www.virustotal.com/gui/file/30ee4915939dcfc2e53979667f7bcede0fbe808954527ebee26204ad88cac4f8?nocache=1

+

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

Изменено пользователем safety
R-r-r

R-r-r

Опубликовано
  • Автор
Опубликовано


Algorithm       Hash                                                                   Path
---------       ----                                                                   ----
SHA256          30EE4915939DCFC2E53979667F7BCEDE0FBE808954527EBEE26204AD88CAC4F8       C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\1.exe~

 

Он. хэш совпал.

Спасибо! 

safety

safety

Опубликовано
Опубликовано

Информацией, которую мы запрашиваем, вы не считаете нужным добавить в вашем сообщении? Правильно я понимаю?

safety

safety

Опубликовано
Опубликовано (изменено)

Спасибо.

 

Так понимаю, образ сделан только вчера.

 

Интересно стало, почему часть файлов из автозапуска не попало в логи FRST

 

?ВИРУС?    | C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1.EXE~
?ВИРУС?    | C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1_UNPACKED.EXE~
?ВИРУС?    | C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\4D2D8606.EXE
?ВИРУС?    | C:\USERS\ALL USERS\START MENU\PROGRAMS\STARTUP\4D2D8606.EXE
?ВИРУС?    | C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\~4D2D8606.EXE~

 

Может, повторный был запуск шифровальщика? задача была видна (Windows Update ALPHV), но указанных выше файлов (из образа автозапуска) не было в логе FRST..

Task: {57194EE6-A7CA-44A7-A9F1-B909AE4B81B7} - System32\Tasks\Windows Update ALPHV => "C:\Users\Administrator\Desktop\64\64.exe"  __DETACHED__ (Нет файла)

И это повод обратиться к разработчику FRST.

 

Эти файлы так и были с тильдами, или вы вручную их добавили, чтобы избежать запуска?

 

Если вы поправили расширение, то в какой момент? до момента создания логов FRST?

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

И да, файл шифровальщика, судя по образу по прежнему в автозапуске.

?ВИРУС?    | C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\4D2D8606.EXE
?ВИРУС?    | C:\USERS\ALL USERS\START MENU\PROGRAMS\STARTUP\4D2D8606.EXE

---------

и этот файл интересен:

?ВИРУС?    | C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1_UNPACKED.EXE~

он отличается по хэшу от 1.exe

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • mkozlenko
      Шифровальщик через rdp
      Автор mkozlenko
      Добрый день! 
      У знакомых проникли на сервер 1С через подбор учетки по RDP.
      Файлы (.doc, .xls, .pdf, .jpeg и т.д., а самое важное все базы 1С) зашифрованы. К названию и расширению файла добавлены "!_____GEKSOGEN911@GMAIL.COM____.c300".
      Сделала проверку Dr.Web CureIT, Kaspersky Virus Removal Tools и Malwarebytes Anti-Malware. Нашлось 3 трояна, одно подозрение на вирус и еще что-то, в том числе файл, который скорее всего является либо шифратором, либо меткой для вредителей (принтскрин найденного Dr.Web во вложении).
      Попробовала все существующие программы по раскодированию.
      На этот момент знакомые успели списаться с теми. кто собственно проник (текст письма во вложении). 
      Аналогичный запрос уже есть на форуме.
       
      Помогите. пожалуйста.
       
      ps попробовала восстановить через qphotorec - восстановилась лишь часть pdf и очень малая часть doc и xls.
      Все осложняется тем, что backup(ы) не делались, учетки не контролировались. Касперский стоял, но сейчас он "таинственно" исчез (ключ есть), и когда он "исчез", никто сказать не может (администратор в отпуске и недоступен).
       
       
      CollectionLog-2016.11.17-13.16.zip

      переписка.txt
      Пример файла с вирусом.rar
    • АлександрЮ
      шифровальщик [ID-9A701949].[Telegram ID @kind_ad].LGJIID
      Автор АлександрЮ
      Систему переустановили ранее, предшественник оставил диск с зашифрованными файлами. Прошу помощи в определении и если получится расшифровке. Вложения - текстовик вируса и в архиве зашифрованные файлы \самого зловреда там нет, поэтому пароль на архив не ставил\
      #HOW-TO-RESTORE-YOUR-FILES.txt buh_Кундряк.rar
    • Gena1589
      Шифровальщик с расширением .BQPEKB семейства Phobos
      Автор Gena1589
      Добрый день
      Словили шифровальщика, зашифровал сервера, включая те которые  были по vpn туннелю, может кто сталкивался с ним? Оставил свой телеграмм, а не почту. Куда копать, чтобы понять с кого и с чего все началось? В одной из папок обнаружил батники, программы взломщика




    • Volos
      Поймали шифровальщик, пострадали 3 компьютера
      Автор Volos
      Зашифрованы файлы на трех компьютерах. Одна из машин теперь не запускается, была запущена полная проверка Касперским. Обнаружены два вредоносных файла (приложил фото).
      Запустил сканирование FRST на другой машине, которая запускается (логи и файлы с требованиями приложил)

       
      файлы.zip Addition.txt FRST.txt
    • s.vetoshkin
      Здравствуйте. Шифровальщик зашифровал файлы помогите пожалуйста расшифровать
      Автор s.vetoshkin
      infected!!!.zip
      Сообщение от модератора thyrex Перенесено в раздел по шифровальщикам
×
×
  • Создать...