Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик Payday

DenisKeramik
 Поделиться

Рекомендуемые сообщения

DenisKeramik

DenisKeramik

Опубликовано
Опубликовано

Добрый день! Поймал шифровальщик, подскажите нет ли готового решения для расшифровки информации?

Файл с примером прикрепляю.

Отчет.xls.aversia@tuta.io-id-0.payday.7z

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

 

Если есть текстовый файл с требованием выкупа, прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
DenisKeramik

DenisKeramik

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

 

Если есть текстовый файл с требованием выкупа, прикрепите к следующему сообщению.

Прошу прощения.  Файл логов и скриншот о выкупе. Текстового файла нее увидел.

post-47540-0-39736900-1507021585_thumb.jpg

CollectionLog-2017.10.03-14.02.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

C:\Users\Warehouse\AppData\Roaming\payday.hta

 

Этот файл упакуйте и прикрепите.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
DenisKeramik

DenisKeramik

Опубликовано
  • Автор
Опубликовано (изменено)

Архив с файлами прикрепляю.

 

Файла C:\Users\Warehouse\AppData\Roaming\payday.hta не вижу. Возможно он удален cureit

FRS.7z

Изменено пользователем DenisKeramik
Ссылка на комментарий
Поделиться на другие сайты
DenisKeramik

DenisKeramik

Опубликовано
  • Автор
Опубликовано

Архив с файлами прикрепляю.

 

Файла C:\Users\Warehouse\AppData\Roaming\payday.hta не вижу. Возможно он удален cureit

 

Он должен появиться снова в случае перезагрузки?

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Скорее всего нет.

Возможно он удален cureit

Если есть возможность, попробуйте восстановить из карантина.

 

Но это нужно для относительно точного определения типа вымогателя. С расшифровкой скорее всего помочь не сможем.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKU\S-1-5-21-1921929723-2490943160-3208376721-1025\...\Run: [payday] => "C:\Users\Warehouse\AppData\Roaming\payday.hta"**=*CTYPE HTML *********=*CTYPE HTML *********=*tle>
HKU\S-1-5-21-1921929723-2490943160-3208376721-1025\...\Run: [   *********П<* src='data:*********П<* src='data:*********=* src='data:*********=* src (the data entry has 59 more characters).] => [X]
HKU\S-1-5-21-1921929723-2490943160-3208376721-1025\...\Run: [baby] => "C:\Users\Warehouse\AppData\Roaming\payday.hta"**=*CTYPE HTML *********=*CTYPE HTML *********=*tle>
HKU\S-1-5-21-1921929723-2490943160-3208376721-1025\...\Run: [   *********П<* src='data:*********П<* src='data:*********=* src='data:*********=* src (the data entry has 59 more characters).] => [X]
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

На этом все.

 

Настройте антивирус.

 

Проверьте уязвимые места системы:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты
scryde

scryde

Опубликовано
Опубликовано

На этом все.

 

Настройте антивирус.

 

Проверьте уязвимые места системы:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Рекомендации после удаления вредоносного ПО

 

Расшифровка есть этого троя?а то тоже пару дней назад поймал.Спасибо за ответ.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 08Sergey
      Шифровальщик .eking
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • Александр_vgau
      шифровальщик banta
      Автор Александр_vgau
      Шифровальщик изменил файлы данных внутри сети на всех серверах и рабочих станциях с ОС Windows где был доступ по протоколу rdp или общие папки, часть бэкапов удалил.
      Антивирус не реагирует (все обновления установлены), наблюдали шифрование в режиме реального времени Антивирус спокойно наблюдал за шифрованием.
      Требования и файлы.rar Вирус.zip FRST.txt Addition.txt
    • vmax
      Шифровальщик 13
      Автор vmax
      Шифровальщик зашифровал все файлы, даже архивы, помогите, не знаю что делать. В архиве две заражённые картинки.
      1.jpg.id[3493C0DF-3274].[xlll@imap.cc].zip
    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
×
×
  • Создать...