Перейти к содержанию

Шифровальщик с почты

stratulat
 Share

Рекомендуемые сообщения

stratulat Новичок

stratulat

Опубликовано
Опубликовано

По почте пришло письмо с архивом "Сч._Оплата (счт.факт.)"

ZIP, 254К

После запуска файлы MS Office и PDFне открываются.

Архив сохранился.

Предположительное время заражения 20 января 9-10 утра.

Есть файл RU117-3FARK-ZTAHA-GTXEE-TRHFT-HAHOR-TGZRG.KEY

текстовый вариант его приложил

ZIP, 254К

ZIP, 254К

CollectionLog-2017.01.24-15.48.zip

RU117-3FARK-ZTAHA-GTXEE-TRHFT-HAHOR-TGZRG.txt

0350ИС счет-фактура.xls

MRKU6251060 NB2153MBLTLX.pdf

ИС2.rtf

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Деинсталлируйте SpyHunter 4.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
GroupPolicy\User: Restriction <======= ATTENTION
S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
2017-01-24 23:55 - 2017-01-24 23:55 - 00000000 ____D C:\Users\Все пользователи\s5n0
2017-01-24 23:55 - 2017-01-24 23:55 - 00000000 ____D C:\ProgramData\s5n0
2017-01-24 23:52 - 2017-01-24 23:52 - 00000000 ____D C:\Users\Все пользователи\s1cg
2017-01-24 23:52 - 2017-01-24 23:52 - 00000000 ____D C:\Users\Все пользователи\s13k
2017-01-24 23:52 - 2017-01-24 23:52 - 00000000 ____D C:\ProgramData\s1cg
2017-01-24 23:52 - 2017-01-24 23:52 - 00000000 ____D C:\ProgramData\s13k
2017-01-24 23:50 - 2017-01-24 23:50 - 00000000 ____D C:\Users\Все пользователи\s4vs
2017-01-24 23:50 - 2017-01-24 23:50 - 00000000 ____D C:\Users\Все пользователи\s224
2017-01-24 23:50 - 2017-01-24 23:50 - 00000000 ____D C:\ProgramData\s4vs
2017-01-24 23:50 - 2017-01-24 23:50 - 00000000 ____D C:\ProgramData\s224
2017-01-20 14:12 - 2017-01-20 14:12 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys
2017-01-20 14:12 - 2017-01-20 14:12 - 00003332 _____ C:\Windows\System32\Tasks\SpyHunter4Startup
2017-01-20 14:12 - 2017-01-20 14:12 - 00000000 ____D C:\sh4ldr
2017-01-20 14:11 - 2017-01-20 14:11 - 03516080 _____ (Enigma Software Group USA, LLC.) C:\Users\Тамила\Downloads\SpyHunter-Installer.exe
2017-01-20 09:06 - 2017-01-20 09:10 - 13480488 _____ () C:\Users\Тамила\AppData\Roaming\514433175
2017-01-20 09:10 - 2017-01-20 09:10 - 0001088 ___RH () C:\Users\Тамила\AppData\Roaming\RU117-3FARK-ZTAHA-GTXEE-TRHFT-HAHOR-TGZRG.KEY
2017-01-20 09:06 - 2017-01-20 09:12 - 0024196 _____ () C:\Users\Тамила\AppData\Local\Tempsp.doc
2016-10-19 12:42 - 2016-10-19 12:42 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
Task: {8C20974E-5B83-4B31-9064-3254A259EA76} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

Ссылка на комментарий
Поделиться на другие сайты
stratulat Новичок

stratulat

Опубликовано
  • Автор
Опубликовано

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

благодарю

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • Кристина1983
      По электронной почте прислали вредоносный файл
      От Кристина1983
      Здравствуйте! Вчера по электронной почте пришел вредоносный файл, якобы Накладная.pdf, но файл был не PDF, просто маскировался. Письмо из почты удалила, при попытке почистить папку удаленные, через несколько секунд это удаленное письмо в удаленных восстанавливалось (почтовый клиент Thunderbird). Касперским проверила лог прилагаю, но в почтовом клиенте опять в удаленных было это письмо. Снова запустила утилиту Касперского с полной проверкой. Было проведено лечение с перезагрузкой.
      Прошу проверить остались ли вредоносные следы в системе? 
       
      Логи Kaspersky Virus Removal Tool Reports.rar
      Логи AutoLogger, после того как отработал Kaspersky Virus Removal Tool
      CollectionLog-2025.02.06-15.12.zip
    • Galymzhan
      зашифровали файлы, оставили почту platishilidrocish@fear.pw
      От Galymzhan
      На комп зашли через RD и зашифровали файлы, оставили почту platishilidrocish@fear.pw для расшифровки требуют плату, требования и шифрованные файлы закрепил
      FRST.zip Требования.zip зашифрованные файлы.zip
    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Пользователь 1551
      Шифровальщик
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...