Перейти к содержанию

Разшифровка файлов после шифровальщика (*.sigrun)

DarkExspiravit
 Поделиться

Рекомендуемые сообщения

DarkExspiravit Новичок

DarkExspiravit

Опубликовано
Опубликовано

Здравствуйте!

Ко мне обратились с просьбой переустановить Windows и очистить вирусы.
Просмотрев файлы на этом ПК я заметил что они зашифрованы шифровальщиком. Расспросив более подробно я выяснил что на ПК изначально был установлен Zilla! Antivirus при работе которого случилось заражение. Как именно случилось заражение владелец ПК (девочка-второкурсница) не говорит. Но до меня вирусы пытались вылечить студенты-умельцы. Время шифрования файлов попадает на период от 23:00 23.05.2018 до 01:00 24.05.2018. Не знаю были ли зашифрованы файлы ещё до студентов или это дело кривых рук этих самых студентов. Они прогнали проверку SpyHunter 4 и CheckMAL AppCheck после чего сказали что вирусов очень много и нужно переустановить Windows.

Я выяснил что шифровальщик называется sigrun ransomware. К сожалению после студентов не осталось записки с выкупом но может ещё посмотрев логи AutoLogger кто-то сможет мне помочь. Также додаю пример зараженного файла

CollectionLog-2018.05.26-08.54.zip

файлы.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

 QuarantineFile('C:\Users\Admin\AppData\Roaming\svchostx64.exe','');

 QuarantineFile('C:\Users\Admin\gaszilanfofg.exe','');

 QuarantineFile('C:\Users\Admin\AppData\Local\VZEUJV~1\WINUPD~1.EXE','');

 QuarantineFile('C:\Users\Admin\M-5050506265024805240640200\winsvc.exe','');

 QuarantineFile('C:\Users\Admin\M-0857948697957959\winsvcroug.exe','');

 QuarantineFile('C:\Users\Admin\M-505958576840600505580505058\winsvccrn.exe','');

 QuarantineFile('C:\Users\Admin\M-84864857959479508850505749\winsvcr.exe','');

 QuarantineFile('C:\Users\Admin\M-5050050640745700375076006680\winmgr.exe','');

 TerminateProcessByName('c:\users\admin\appdata\local\vzeujvqezt\winupdsvc.exe');

 QuarantineFile('c:\users\admin\appdata\local\vzeujvqezt\winupdsvc.exe','');

 DeleteFile('c:\users\admin\appdata\local\vzeujvqezt\winupdsvc.exe','32');

 DeleteFile('C:\Users\Admin\M-5050050640745700375076006680\winmgr.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Manager');

 DeleteFile('C:\Users\Admin\M-84864857959479508850505749\winsvcr.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Srvcs');

 DeleteFile('C:\Users\Admin\M-505958576840600505580505058\winsvccrn.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows SVCSc');

 DeleteFile('C:\Users\Admin\M-0857948697957959\winsvcroug.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Srvcks');

 DeleteFile('C:\Users\Admin\M-5050506265024805240640200\winsvc.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Service');

 DeleteFile('C:\Users\Admin\AppData\Local\VZEUJV~1\WINUPD~1.EXE','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dGpDguAlnf');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gaszilanfofg');

 DeleteFile('C:\Users\Admin\gaszilanfofg.exe','32');

 DeleteFile('C:\Users\Admin\AppData\Roaming\svchostx64.exe','32');

 DeleteFile('C:\Windows\system32\Tasks\Adasdsadas3id','64');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

 




O4 - HKCU\..\Run: [Microsoft Windows Manager] = C:\Users\Admin\M-5050050640745700375076006680\winmgr.exe

O4 - HKCU\..\Run: [Microsoft Windows SVCSc] = C:\Users\Admin\M-505958576840600505580505058\winsvccrn.exe  (file missing)

O4 - HKCU\..\Run: [Microsoft Windows Service] = C:\Users\Admin\M-5050506265024805240640200\winsvc.exe

O4 - HKCU\..\Run: [Microsoft Windows Srvcks] = C:\Users\Admin\M-0857948697957959\winsvcroug.exe  (file missing)

O4 - HKCU\..\Run: [Microsoft Windows Srvcs] = C:\Users\Admin\M-84864857959479508850505749\winsvcr.exe  (file missing)

O4 - HKCU\..\Run: [Regedit32] = C:\Windows\system32\regedit.exe  (file missing)

O4 - HKCU\..\Run: [dGpDguAlnf] = C:\Users\Admin\AppData\Local\VzEujvQEZT\winupdsvc.exe

O4 - HKCU\..\Run: [gaszilanfofg] = C:\Users\Admin\gaszilanfofg.exe

O22 - Task (Job): (Not scheduled) ParetoLogic Registration3.job - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll" RunUns


 

Деинсталлируйте McAfee Security Scan Plus, SpyHunter 4. 

 

Сделайте новые логи Автологгером. 

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
2018-05-26 12:24 - 2018-05-26 12:53 - 000000000 _RSHD C:\Users\Admin\T-5060548008706965508605070
2018-05-25 19:31 - 2018-05-25 19:42 - 000000000 ___HD C:\GiQ3nF4NQGobQ59f
virustotal: C:\Users\Admin\AppData\Roaming\3224818104.exe
2018-05-24 09:16 - 2018-05-24 09:16 - 000146944 _____ C:\Users\Admin\AppData\Roaming\3224818104.exe
2018-05-23 22:56 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-5050050640745700375076006680
virustotal: C:\Users\Admin\AppData\Roaming\2282214373.exe
C:\Users\Admin\AppData\Roaming\2282214373.exe
2018-05-22 13:39 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050045602465802804640
2018-05-15 14:15 - 2018-05-26 13:02 - 000000000 _RSHD C:\Users\Admin\M-5050506265024805240640200
2018-05-14 16:56 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-505050068756458660840
2018-05-09 15:01 - 2018-05-09 15:01 - 000028160 _____ C:\Users\Admin\AppData\Roaming\3489015373.exe
2018-05-09 13:39 - 2018-05-09 13:39 - 000028160 _____ C:\Users\Admin\AppData\Roaming\2175834963.exe
2018-05-09 12:59 - 2018-05-09 12:59 - 000028160 _____ C:\Users\Admin\AppData\Roaming\1121215938.exe
2018-05-09 12:06 - 2018-05-09 12:06 - 000028160 _____ C:\Users\Admin\AppData\Roaming\2516913143.exe
2018-05-09 12:06 - 2018-05-09 12:06 - 000028160 _____ C:\Users\Admin\AppData\Roaming\1581722586.exe
2018-05-09 01:00 - 2018-05-09 01:00 - 000028160 _____ C:\Users\Admin\AppData\Roaming\1241725572.exe
2018-05-08 23:59 - 2018-05-08 23:59 - 000028160 _____ C:\Users\Admin\AppData\Roaming\4055238615.exe
2018-05-08 22:59 - 2018-05-08 22:59 - 000028160 _____ C:\Users\Admin\AppData\Roaming\3341421231.exe
2018-05-08 14:05 - 2018-05-08 14:05 - 000028160 _____ C:\Users\Admin\AppData\Roaming\2600728630.exe
2018-05-08 13:27 - 2018-05-08 13:27 - 000028160 _____ C:\Users\Admin\AppData\Roaming\3085640080.exe
2018-05-08 13:12 - 2018-05-08 13:12 - 000028160 _____ C:\Users\Admin\AppData\Roaming\1656842178.exe
2018-05-08 11:49 - 2018-05-08 11:49 - 000028160 _____ C:\Users\Admin\AppData\Roaming\1912426641.exe
2018-05-08 11:24 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-500580508606
2018-05-08 11:24 - 2018-05-08 11:24 - 000028160 _____ C:\Users\Admin\AppData\Roaming\2210232401.exe
2018-05-08 11:23 - 2018-05-08 11:23 - 000028160 _____ C:\Users\Admin\AppData\Roaming\4146426833.exe
2018-05-07 16:19 - 2018-05-25 20:04 - 000000000 _RSHD C:\Users\Admin\M-55052645082605024
2018-05-07 16:13 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050240562497502478562840
2018-04-26 09:25 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050506208520468520486082450
2018-04-24 14:20 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050265802658046582004020
2018-04-19 17:50 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050805868050685086870
2018-04-16 17:38 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-5050508460580687540
2018-04-13 09:21 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-55082652605820630852
2018-04-13 08:37 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-9758463
2018-04-12 19:42 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050864506066855680508460
2018-04-12 19:39 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050650508506450000866050
2018-04-12 18:41 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-50505286526856202620304602
2018-04-11 19:35 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-50505235240626305020
2018-04-11 19:13 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-505049764065650465060505058608
2018-04-11 15:43 - 2018-05-25 20:04 - 000000000 _RSHD C:\Users\Admin\M-254525269572524649
2018-04-11 15:41 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050065845655086047056050
2018-04-11 09:48 - 2018-05-26 12:54 - 000000000 ____D C:\Users\Admin\AppData\Local\VzEujvQEZT
2018-04-04 19:33 - 2018-05-25 20:05 - 000000000 _RSHD C:\Users\Admin\M-870695784634579669
2018-04-04 19:17 - 2018-05-25 20:04 - 000000000 _RSHD C:\Users\Admin\M-86957864357864579
2018-04-04 18:38 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-0869574863572348975868657
2018-04-04 18:27 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-858680705668704605687605059689
2018-04-04 18:08 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-089574863752368457679
2018-04-04 17:50 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-2466246245452
2018-04-04 17:33 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-85634736569898568580500
2018-04-04 17:18 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-68957486357234548795486384957685
2018-04-04 16:51 - 2018-05-25 20:05 - 000000000 _RSHD C:\Users\Admin\M-974859952596975
2018-04-04 16:42 - 2018-05-25 20:04 - 000000000 _RSHD C:\Users\Admin\M-08586085860770
2018-04-04 15:23 - 2018-05-25 20:05 - 000000000 _RSHD C:\Users\Admin\M-9758z7864675
2018-04-04 14:57 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-502658254205082648056208460
2018-04-04 14:20 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-95795979595957959697650
2018-04-04 13:55 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-97659869475979659647959555590
2018-04-03 17:04 - 2018-05-25 20:04 - 000000000 _RSHD C:\Users\Admin\M-0857948697957959
2018-04-03 13:49 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-505958576840600505580505058
2018-04-03 13:19 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-0585060850508068008504005500959
2018-04-03 12:25 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-50508667586006508504660560860
2018-04-03 11:02 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-84864857959479508850505749
2018-04-03 10:54 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-08564675859547365386475959479
2018-04-03 10:25 - 2018-05-25 20:05 - 000000000 _RSHD C:\Users\Admin\M-zt97r86e5733486579
2018-04-03 09:26 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050520865802655632060635025
2018-04-03 09:25 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050576074506040757804060
2018-04-02 18:56 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-505008680506006060648068050
2018-04-02 18:05 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050586080625875096858607505086080
2018-04-02 14:35 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-505058554085705845670606
2018-04-01 18:59 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-50505068060740568780405670660
2018-04-01 18:58 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050506806850880580607670660
2018-04-01 18:55 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-505059862068046502485626052650620
2018-03-29 22:36 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-50505203560265802375082062037520
2018-03-29 22:36 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5068050786058006780050600
2018-03-29 22:35 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5856756459898586598495
2018-03-29 22:34 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050508600507406805068650
2018-05-09 12:59 - 2018-05-09 12:59 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\1121215938.exe
2018-05-09 01:00 - 2018-05-09 01:00 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\1241725572.exe
2018-05-09 12:06 - 2018-05-09 12:06 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\1581722586.exe
2018-05-08 13:12 - 2018-05-08 13:12 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\1656842178.exe
2018-05-08 11:49 - 2018-05-08 11:49 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\1912426641.exe
2018-05-09 13:39 - 2018-05-09 13:39 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\2175834963.exe
2018-05-08 11:24 - 2018-05-08 11:24 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\2210232401.exe
2018-05-23 22:56 - 2018-05-23 22:56 - 000146944 _____ () C:\Users\Admin\AppData\Roaming\2282214373.exe
2018-05-09 12:06 - 2018-05-09 12:06 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\2516913143.exe
2018-05-08 14:05 - 2018-05-08 14:05 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\2600728630.exe
2018-05-08 13:27 - 2018-05-08 13:27 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\3085640080.exe
2018-05-24 09:16 - 2018-05-24 09:16 - 000146944 _____ () C:\Users\Admin\AppData\Roaming\3224818104.exe
2018-05-08 22:59 - 2018-05-08 22:59 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\3341421231.exe
2018-05-09 15:01 - 2018-05-09 15:01 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\3489015373.exe
2018-05-08 23:59 - 2018-05-08 23:59 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\4055238615.exe
2018-05-08 11:23 - 2018-05-08 11:23 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\4146426833.exe
2018-03-29 22:34 - 2018-05-26 12:39 - 000000000 ____H () C:\Users\Admin\AppData\Roaming\winmgr.txt
2018-05-26 12:24 - 2018-05-26 12:24 - 000231936 ____N () C:\Users\Admin\AppData\Local\Temp\100793063427146.exe
2018-05-24 09:16 - 2018-05-24 09:16 - 000146944 _____ () C:\Users\Admin\AppData\Local\Temp\121531597917999.exe
2018-04-26 13:03 - 2018-04-26 13:03 - 000005632 _____ () C:\Users\Admin\AppData\Local\Temp\140032416615003.exe
2018-04-27 23:01 - 2018-04-27 23:01 - 000000285 _____ () C:\Users\Admin\AppData\Local\Temp\140041238222345.exe
2018-04-02 20:14 - 2018-04-02 20:14 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\1419119222.exe
2018-04-11 16:00 - 2018-04-11 16:00 - 000120064 _____ () C:\Users\Admin\AppData\Local\Temp\1466040313.exe
2018-04-02 19:44 - 2018-04-02 19:44 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\1584520149.exe
2018-04-11 16:01 - 2018-04-11 16:01 - 000120064 _____ () C:\Users\Admin\AppData\Local\Temp\1615724815.exe
2018-04-11 09:48 - 2018-04-11 09:48 - 000000285 _____ () C:\Users\Admin\AppData\Local\Temp\162443219536505.exe
2018-04-02 20:14 - 2018-04-02 20:14 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\1670616805.exe
2018-05-26 10:41 - 2018-05-26 10:41 - 000808960 _____ () C:\Users\Admin\AppData\Local\Temp\170321067241433.exe
2018-04-07 11:30 - 2018-04-07 11:30 - 000004608 _____ () C:\Users\Admin\AppData\Local\Temp\179214224737758.exe
2018-04-11 19:35 - 2018-04-11 19:35 - 000045568 _____ () C:\Users\Admin\AppData\Local\Temp\180281961533341.exe
2018-05-26 08:50 - 2018-05-26 08:50 - 000808960 _____ () C:\Users\Admin\AppData\Local\Temp\182022843829987.exe
2018-04-02 22:23 - 2018-04-02 22:23 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\1849736655.exe
2018-03-29 23:24 - 2018-03-29 23:24 - 000043520 _____ () C:\Users\Admin\AppData\Local\Temp\185633905720409.exe
2018-04-02 23:48 - 2018-04-02 23:48 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\1926821326.exe
2018-05-15 15:27 - 2018-05-15 15:27 - 000046080 _____ () C:\Users\Admin\AppData\Local\Temp\198562538127864.exe
2018-05-15 16:48 - 2018-05-15 16:48 - 000046080 _____ () C:\Users\Admin\AppData\Local\Temp\205311408413326.exe
2018-04-04 20:15 - 2018-04-04 20:23 - 000043077 _____ () C:\Users\Admin\AppData\Local\Temp\212693925542698.exe
2018-04-11 20:26 - 2018-04-11 20:26 - 000045568 _____ () C:\Users\Admin\AppData\Local\Temp\219411040716801.exe
2018-04-03 00:24 - 2018-04-03 00:24 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\2205234124.exe
2018-04-04 18:00 - 2018-04-04 18:00 - 000037376 _____ () C:\Users\Admin\AppData\Local\Temp\220613344213189.exe
2018-05-15 14:15 - 2018-05-15 14:15 - 000046080 _____ () C:\Users\Admin\AppData\Local\Temp\225583176926914.exe
2018-04-04 17:50 - 2018-04-04 17:50 - 000037376 _____ () C:\Users\Admin\AppData\Local\Temp\226802979932595.exe
2018-03-29 23:07 - 2018-03-29 23:07 - 000043520 _____ () C:\Users\Admin\AppData\Local\Temp\227961520013656.exe
2018-04-04 17:55 - 2018-04-04 17:55 - 000037376 _____ () C:\Users\Admin\AppData\Local\Temp\234973807438297.exe
2018-05-26 12:40 - 2018-05-26 12:40 - 000910848 _____ () C:\Users\Admin\AppData\Local\Temp\241111512722693.exe
2018-04-03 00:45 - 2018-04-03 00:45 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\2482724850.exe
2018-05-26 12:24 - 2018-05-26 12:24 - 000910848 _____ () C:\Users\Admin\AppData\Local\Temp\252012779132389.exe
2018-04-03 00:23 - 2018-04-03 00:23 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\2556020616.exe
2018-05-15 16:29 - 2018-05-15 16:29 - 000046080 _____ () C:\Users\Admin\AppData\Local\Temp\267822629612682.exe
2018-05-23 22:56 - 2018-05-23 22:56 - 000146944 _____ () C:\Users\Admin\AppData\Local\Temp\274362646117580.exe
2018-04-11 15:50 - 2018-04-11 16:00 - 000026005 _____ () C:\Users\Admin\AppData\Local\Temp\2768441048.exe
2018-04-03 00:46 - 2018-04-03 00:46 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\2769529136.exe
2018-04-02 19:36 - 2018-04-02 19:37 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\2804334256.exe
2018-03-29 23:26 - 2018-03-29 23:26 - 000043520 _____ () C:\Users\Admin\AppData\Local\Temp\282932251837696.exe
2018-05-24 11:18 - 2018-05-24 11:18 - 000146944 _____ () C:\Users\Admin\AppData\Local\Temp\284921995414137.exe
2018-04-02 23:34 - 2018-04-02 23:34 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\2934821075.exe
2018-05-07 16:03 - 2018-05-07 16:04 - 000188160 _____ () C:\Users\Admin\AppData\Local\Temp\293543319941914.exe
2018-05-26 12:40 - 2018-05-26 12:40 - 000231936 _____ () C:\Users\Admin\AppData\Local\Temp\299291251322742.exe
2018-05-26 12:24 - 2018-05-26 12:24 - 000231936 _____ () C:\Users\Admin\AppData\Local\Temp\310192517732438.exe
2018-04-16 17:36 - 2018-04-16 17:37 - 000126976 _____ () C:\Users\Admin\AppData\Local\Temp\311563554521082.exe
2018-04-02 20:14 - 2018-04-02 20:14 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3132922858.exe
2018-05-07 16:15 - 2018-05-07 16:15 - 000188160 _____ () C:\Users\Admin\AppData\Local\Temp\313724237638209.exe
2018-04-07 11:30 - 2018-04-07 11:30 - 000004608 _____ () C:\Users\Admin\AppData\Local\Temp\318281399210859.exe
2018-04-04 18:01 - 2018-04-04 18:01 - 000037376 _____ () C:\Users\Admin\AppData\Local\Temp\320233020539992.exe
2018-04-11 20:07 - 2018-04-11 20:07 - 000045568 _____ () C:\Users\Admin\AppData\Local\Temp\326113422016981.exe
2018-05-08 11:28 - 2018-05-08 11:28 - 000028160 _____ () C:\Users\Admin\AppData\Local\Temp\326691292631098.exe
2018-04-11 19:39 - 2018-04-11 19:39 - 000045568 _____ () C:\Users\Admin\AppData\Local\Temp\332892918137472.exe
2018-04-02 19:43 - 2018-04-02 19:43 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3364029895.exe
2018-04-16 17:36 - 2018-04-16 17:37 - 000126976 _____ () C:\Users\Admin\AppData\Local\Temp\337083845221232.exe
2018-05-23 22:57 - 2018-05-23 22:57 - 000146944 _____ () C:\Users\Admin\AppData\Local\Temp\339752913037686.exe
2018-05-15 14:15 - 2018-05-15 14:15 - 000083456 _____ () C:\Users\Admin\AppData\Local\Temp\340943687126000.exe
2018-04-02 23:47 - 2018-04-02 23:47 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3454225782.exe
2018-04-02 20:14 - 2018-04-02 20:14 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3460612171.exe
2018-04-11 16:01 - 2018-04-11 16:01 - 000120064 _____ () C:\Users\Admin\AppData\Local\Temp\3485210185.exe
2018-05-26 12:24 - 2018-05-26 12:24 - 000231936 ____N () C:\Users\Admin\AppData\Local\Temp\351371196920910.exe
2018-04-02 22:23 - 2018-04-02 22:23 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3543310093.exe
2018-04-11 09:48 - 2018-04-11 09:48 - 000000285 _____ () C:\Users\Admin\AppData\Local\Temp\356172082218401.exe
2018-04-02 20:15 - 2018-04-02 20:15 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3604420809.exe
2018-04-13 08:36 - 2018-04-13 08:36 - 000096256 _____ () C:\Users\Admin\AppData\Local\Temp\365203369012406.exe
2018-03-29 22:36 - 2018-03-29 22:36 - 000043520 _____ () C:\Users\Admin\AppData\Local\Temp\370921636121870.exe
2018-04-02 20:15 - 2018-04-02 20:15 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3784920842.exe
2018-05-24 12:03 - 2018-05-24 12:03 - 000146944 _____ () C:\Users\Admin\AppData\Local\Temp\379493645328878.exe
2018-04-02 19:35 - 2018-04-02 19:37 - 000039162 _____ () C:\Users\Admin\AppData\Local\Temp\381393469016119.exe
2018-05-08 11:28 - 2018-05-08 11:28 - 000011311 _____ () C:\Users\Admin\AppData\Local\Temp\384871031231147.exe
2018-04-02 19:38 - 2018-04-02 19:38 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3860935788.exe
2018-04-11 15:49 - 2018-04-11 16:00 - 000014325 _____ () C:\Users\Admin\AppData\Local\Temp\4012714187.exe
2018-05-08 11:28 - 2018-05-08 11:28 - 000188160 _____ () C:\Users\Admin\AppData\Local\Temp\405272415532525.exe
2018-04-24 14:20 - 2018-04-24 14:20 - 000024545 _____ () C:\Users\Admin\AppData\Local\Temp\411251819939245.exe
2018-04-12 19:36 - 2018-04-12 19:36 - 000017245 _____ () C:\Users\Admin\AppData\Local\Temp\412003325432267.exe
2018-04-04 18:01 - 2018-04-04 18:01 - 000037376 _____ () C:\Users\Admin\AppData\Local\Temp\414121425041928.exe
2018-05-15 14:28 - 2018-05-15 14:28 - 000046080 _____ () C:\Users\Admin\AppData\Local\Temp\418171747937627.exe
2018-05-23 22:56 - 2018-05-23 22:56 - 000146944 _____ () C:\Users\Admin\AppData\Local\Temp\420334273017685.exe
2018-03-29 22:37 - 2018-03-29 22:37 - 000043520 _____ () C:\Users\Admin\AppData\Local\Temp\423374045838522.exe
Task: {566C31AF-AB88-4219-BAA1-E31E399DD645} - \Adasdsadas3id -> No File <==== ATTENTION
zip:C:\FRST\Quarantine
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите на http://rgho.st/ и пришлите ссылку в личные сообщения.

 
 
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

На форуме с расшифровкой не поможем. Девушке скажите, чтобы сменила все пароли. Ответ по карантину:

 

Следующие файлы являются вредоносными (дубликаты были предварительно удалены) и уже детектируются:


100793063427146.exe.xBAD Trojan.Win32.Chapak.yug
121531597917999.exe.xBAD Trojan.Win32.IRCbot.bhnc
1466040313.exe.xBAD Trojan.Win32.Cutwail.wzg
179214224737758.exe.xBAD HEUR:Trojan.Win32.Generi
180281961533341.exe.xBAD Trojan.Win32.Zonidel.daa
185633905720409.exe.xBAD Trojan.Win32.Zonidel.cxr
198562538127864.exe.xBAD HEUR:Trojan.Win32.Generic
220613344213189.exe.xBAD Trojan.Win32.Zonidel.cyy
241111512722693.exe.xBAD Trojan.Win32.Chapak.vgi
293543319941914.exe.xBAD Trojan.Win32.Cutwail.wzm
311563554521082.exe.xBAD Trojan.Win32.IRCbot.bhik
326691292631098.exe.xBAD Trojan.Win32.IRCbot.bhlw
340943687126000.exe.xBAD Trojan-PSW.Win32.Tepfer.gen
365203369012406.exe.xBAD Trojan.Win32.IRCbot.bhhy

 

 

Ссылка на комментарий
Поделиться на другие сайты
DarkExspiravit Новичок

DarkExspiravit

Опубликовано
  • Автор
Опубликовано

Спасибо!


Ещё вопрос: Есть возможность что позже через некоторое время возможно будет расшифровать если оставить зашифрованные файлы а ОС переустановить ?

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Если и появится, то не на форуме. ОС я бы не переустанавливал, либо сделал снимок текущего состояния ОС, например Акронисом. 

Ссылка на комментарий
Поделиться на другие сайты
DarkExspiravit Новичок

DarkExspiravit

Опубликовано
  • Автор
Опубликовано

Сохранил образ Acronis.

Также удалось восстановить часть фото с помощью GetDataBack. Ещё восстановил письмо вымогателей.

 

Прикрепил его к теме, может пригодится.

RESTORE-SIGRUN.html

RESTORE-SIGRUN.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • Павел Ф.
      Шифровальщик KOZANOSTRA
      Автор Павел Ф.
      Виртуальную машину с открытым извне не стандартным рдп портом зашифровал вирус KOZANOSTRA. Был установлен антивирус kaspersku Endpoint Securitu. 
      Помогите с расшифровкой. Система под переустановку, нужны файлы и базы
    • valkovaleksandr
      Шифровальщик cyberfear
      Автор valkovaleksandr
      Добрый день! Просьба помочь с  Шифровальщик cyberfear.
      Вот такая фигня вылазит при открытии текстовиков:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your personal ID: *****sJm4WtmxxeX8*datastore@cyberfear.com
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us to this e-mail: datastore@cyberfear.com
      In case of no answer in 24 hours write us to this backup e-mail: back2up@swismail.com
      Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
      Contact us soon, because those who don't have their data leaked in our press release blog and the price they'll have to pay will go up significantly.
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt README_SOLVETHIS.txt Привет.docx Текстовый документ.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Caine
      Шифровальщик KOZANOSTRA
      Автор Caine
      Добрый день.  
      Поймал шифровальщика KOZANOSTRA. На ПК был открыт RDP.  Прошу помощи в расшифровке данных
×
×
  • Создать...