Перейти к содержанию

Шифровальщик aes

vden060
 Поделиться

Рекомендуемые сообщения

vden060

vden060

Опубликовано
Опубликовано

Доброго времени суток! Через rdp словили шифровальщик, заразил почти все файлы на компе, а так же пробрался в сеть.

 

в конце файла добавляется расширение .aes

 

текст, котороый оставляет мошенник

 

Все ваши файлы и данные зашифрованны.Для дешифровки свяжитесь с нами : rozlok@protonmail.com .Чем дольше мы ждём-тем больше.Вам придёться заплатить.

 

 


Прикрепляю архив с зараженным файлом и сообщением от мошенника

CollectionLog-2017.12.29-20.14.zip

Файл.rar

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

regist

regist

Опубликовано
Опубликовано

1)

C:\Program Files (x86)\Total Network Inventory 3\tni.exe

Этот файл вам знаком?
 
2) "Пофиксите" в HijackThis:

O2-32 - HKLM\..\BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll (file missing)
O4 - MSConfig\startupreg: [HW_OPENEYE_OUC_MegaFon | Modem] C:\Program Files (x86)\MegaFon Modem\UpdateDog\ouc.exe  (file missing) (HKCU) (2015/03/16)
O4 - MSConfig\startupreg: [SbisLoader] C:\СБИС Клиент\Мониторинг\SbisMon.exe  (file missing) (HKCU) (2017/11/13)
O4 - MSConfig\startupreg: [muzzle] C:\СБиС Уполномоченная бухгалтерия (сетевая)\MuzzleServer\MuzzleServer.exe -t (file missing) (HKLM) (2017/11/13)
O8 - HKCU\..\Extra context menu item: Добавить к существующему PDF - C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll (file missing)
O8 - HKCU\..\Extra context menu item: Преобразовать в Adobe PDF - C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll (file missing)

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

 

4) Записку от вымогателей прикрепите.
 

regist

regist

Опубликовано
Опубликовано

@vden060, остальные пункты из сообщения над вашим тоже выполните.

vden060

vden060

Опубликовано
  • Автор
Опубликовано

ент\

 

 

1. Файл не знаком, но судя по дате изменения, он установлен в 2014 году.

 

2. Пофиксил

 

3. просканил

 

4. все в архиве

FRST.zip

regist

regist

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:
FF user.js: detected! => C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\cdyyvr7i.default\user.js [2016-12-05]
2017-12-28 20:10 - 2017-12-28 20:10 - 000000251 _____ C:\Users\KlScSvc\Instruction.txt
2017-12-28 19:12 - 2017-12-28 19:09 - 000000251 _____ C:\Users\TEMP\Instruction.txt
2017-12-28 19:12 - 2017-12-28 19:09 - 000000251 _____ C:\Users\TEMP\Downloads\Instruction.txt
2017-12-28 19:12 - 2017-12-28 19:09 - 000000251 _____ C:\Users\TEMP\Documents\Instruction.txt
2017-12-28 19:12 - 2017-12-28 19:09 - 000000251 _____ C:\Users\TEMP\Desktop\Instruction.txt
2017-12-28 19:11 - 2017-12-28 20:10 - 000000251 _____ C:\Users\Public\Downloads\Instruction.txt
2017-12-28 19:11 - 2017-12-28 19:11 - 000000251 _____ C:\Users\Администратор\Instruction.txt
2017-12-28 19:11 - 2017-12-28 19:11 - 000000251 _____ C:\Users\Администратор\Documents\Instruction.txt
2017-12-28 19:11 - 2017-12-28 19:11 - 000000251 _____ C:\Users\Администратор\Desktop\Instruction.txt
2017-12-28 19:11 - 2017-12-28 19:11 - 000000251 _____ C:\Users\sys\Downloads\Instruction.txt
2017-12-28 19:11 - 2017-12-28 19:11 - 000000251 _____ C:\Users\sys\Documents\Instruction.txt
2017-12-28 19:11 - 2017-12-28 19:11 - 000000251 _____ C:\Users\sys\Desktop\Instruction.txt
2017-12-28 19:09 - 2017-12-28 20:10 - 000000251 _____ C:\Users\Public\Instruction.txt
2017-12-28 19:09 - 2017-12-28 20:10 - 000000251 _____ C:\Users\Public\Documents\Instruction.txt
2017-12-28 19:09 - 2017-12-28 20:10 - 000000251 _____ C:\Users\Public\Desktop\Instruction.txt
2017-12-28 19:09 - 2017-12-28 20:10 - 000000251 _____ C:\Users\KlScSvc\Downloads\Instruction.txt
2017-12-28 19:09 - 2017-12-28 20:10 - 000000251 _____ C:\Users\KlScSvc\Documents\Instruction.txt
2017-12-28 19:09 - 2017-12-28 20:10 - 000000251 _____ C:\Users\KlScSvc\Desktop\Instruction.txt
2017-12-28 19:09 - 2017-12-28 20:10 - 000000251 _____ C:\Users\denis\Downloads\Instruction.txt
2017-12-28 19:09 - 2017-12-28 20:10 - 000000251 _____ C:\Users\denis\Documents\Instruction.txt
2017-12-28 19:09 - 2017-12-28 20:10 - 000000251 _____ C:\Users\denis\Desktop\Instruction.txt
2017-12-28 19:09 - 2017-12-28 20:10 - 000000251 _____ C:\Users\Default\Instruction.txt
2017-12-28 19:09 - 2017-12-28 20:10 - 000000251 _____ C:\Users\Default\Downloads\Instruction.txt
2017-12-28 19:09 - 2017-12-28 20:10 - 000000251 _____ C:\Users\Default\Documents\Instruction.txt
2017-12-28 19:09 - 2017-12-28 20:10 - 000000251 _____ C:\Users\Default\Desktop\Instruction.txt
2017-12-28 19:09 - 2017-12-28 20:10 - 000000251 _____ C:\Users\Default User\Downloads\Instruction.txt
2017-12-28 19:09 - 2017-12-28 20:10 - 000000251 _____ C:\Users\Default User\Documents\Instruction.txt
2017-12-28 19:09 - 2017-12-28 20:10 - 000000251 _____ C:\Users\Default User\Desktop\Instruction.txt
2017-12-28 19:08 - 2017-12-28 21:09 - 000000000 _____ C:\Users\admin1c\Desktop\Instruction.txt
2017-12-28 19:08 - 2017-12-28 20:09 - 000000251 _____ C:\Users\Все пользователи\Instruction.txt
2017-12-28 19:08 - 2017-12-28 20:09 - 000000251 _____ C:\Users\admin1c\Downloads\Instruction.txt
2017-12-28 19:08 - 2017-12-28 20:09 - 000000251 _____ C:\Users\admin1c\Documents\Instruction.txt
2017-12-28 19:08 - 2017-12-28 20:09 - 000000251 _____ C:\ProgramData\Instruction.txt
2017-12-28 19:08 - 2017-12-28 19:51 - 000000251 _____ C:\Users\Admin\Downloads\Instruction.txt
2017-12-28 19:07 - 2017-12-28 19:11 - 000000251 _____ C:\Users\Admin\Documents\Instruction.txt
2017-12-28 19:06 - 2017-12-28 19:49 - 000000251 _____ C:\Users\Instruction.txt
2017-12-28 19:06 - 2017-12-28 19:49 - 000000251 _____ C:\Users\Admin\Desktop\Instruction.txt
2017-12-28 19:05 - 2017-12-28 19:47 - 000000251 _____ C:\Instruction.txt
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.
 
regist

regist

Опубликовано
Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
thyrex

thyrex

Опубликовано
Опубликовано

Увы. Там еще и ключ свой для каждого файла. Хранится в зашифрованном после RSA-2048 виде в конце файла.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Николай212322122
      Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
    • AndreyGrom89
      Вирус\майнер CAAServise
      Автор AndreyGrom89
      Доброго времени суток. Недавно обнаружил повышенную нагрузку на ГП. В диспетчере задач было обнаружено два процесса microsoft network realtime inspection service, один из которых и грузил карту. Поиском в инете нашел инфу о возможном майнере. Выполнил рекомендации из поста, не на данном форуме, рекомендации помогли, но увы не надолго, после некоторого времени проблема появилась вновь. Сегодня наткнулся на этот форум с похожей темой. Проверял комп Defender`ом, он проблему не находил. Обнаружил данный "файл" в исключениях, удалил оттуда. По рекомендации с соседней темы скачал FRST, сделал проверку, результаты прикрепил. Какие дальнейшие действия можно применить??
      Addition.txt FRST.txt
    • Fasolka
      Не получается удалить Trojan.Siggen31.49942
      Автор Fasolka
      Обьект: app.dll             Путь: C:\Users\lucif\AppData\Local\Temp\310HkrIkW1H0uUQZkVZi2Qlb5qF\resources\app.asar.unpacked\dist\electron\assets\app.dll
    • Владхелп
      [РЕШЕНО] Подозрение на вирус, подвисания
      Автор Владхелп
      Здравствуйте,
      Недавно переносил файлы с флешки друга, после этого начал подвисать и греться ноутбук, защитник ничего не видит
      CollectionLog-2025.12.22-22.00.zip
    • shougo04
      [РЕШЕНО] Client Helper вирус, помогите
      Автор shougo04
      Всем привет. Первый раз пишу сюда, отчаялся сильно. Уже качал Malwarebytes который на компе выявил 1 троян, несколько значений реестра от программы DriverIdentifier и что-то ещё, что я забыл. После того как я всё это удалил, вручную почистил реестр от подозрительных, старых, лишних значений, всё равно тыкаю Диспетчер задач - нагрузка ЦП (не видюхи) 40%+ и при открытии диспетчера падает соответственно до 1-3%. Так же использовал программу M1nerSearch, которая так же удалила 4 файла и 1 значение реестра по-моему, лог сохранился, если что прикреплю. 
       
      Я зашёл в Speccy и там обнаружил вкладку "планировщик задач" где увидел очень подозрительные процессы.  В планировщике задач обнаружил Client Helper(который MinerSearch как вирус определял), и Edgeupdate которые как я выяснил могут являться знаками наличия вируса. Вирусы получал крайне редко, и то очень давно, поэтому несильно шарю в них, извините.
      Я сейчас скачаю программу Revo uninstaller и попробую с помощью неё ещё что-нибудь сделать. Так же отмечу что вытаскивал кабель инета, устанавливал CCleaner, чистил комп, чистил реестр с помощью неё, потом обратно инет подключал. Так же исправлял ошибки реестра программой Wise Registry Cleaner.
       
      На всякий случай прикрепил 2 лога от MinerSearch, 1-й в котором указаны кол-во запусков 1 это тот лог, который при первом запуске мне и показал 5 проблем. 
      2 лог это лог уже второй проверки после всех вышеописанных манипуляций с ПК, он не обнаружил проблем, но как видите они остались, так что хз.
       
       
      Скрин подозрительной активности в Планировщике.
       
       
      MinerSearch_12_17_2025_7-15-07_PM.log MinerSearch_12_17_2025_8-23-48_PM.log
×
×
  • Создать...