Перейти к содержанию

зашифровал по RDP xser@tutanota.com

Алексей Фурсаев
 Share

Рекомендуемые сообщения

Алексей Фурсаев Новичок

Алексей Фурсаев

Опубликовано
Опубликовано

Создаю новую тему, обнаружил еще одну больную машину, но там уже ключ в файле readme другой. т.к. подключаюсь по RDP не запускается Autologger. запустил FRST64 вот что он мне выдал.

Addition.txt

FRST.txt

readme.txt

Ссылка на комментарий
Поделиться на другие сайты
Алексей Фурсаев Новичок

Алексей Фурсаев

Опубликовано
  • Автор
Опубликовано

автологгер не может запуститься под RDP подключиться локально не имею возможности. сделал логи из FRST, файлы в первом посте.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Не факт, что шифратор не продолжит работу после расшифровки.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
C:\Windows\inf\NETLIBRARIESTIP
"spoolsrvrs" => service was unlocked. <==== ATTENTION
"UI0Detect" => service was unlocked. <==== ATTENTION
"werlsfks" => service was unlocked. <==== ATTENTION
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузка компьютера нужно выполнить вручную.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • xx3l
      Очередной .ooo4ps по ходу через RCE/RDP
      От xx3l
      Есть шансы порасшифровать?
       
      1. Явно подключались по RDP в процессе
      2. Почистили журналы Windows
      3. Что нехарактерно - часть файлов по маске .txt не зашифровали
      4. Ключ явно зависит от имени файла, но не от пути (есть 2 идентичных файла, в разных папках, с одинаковым шифртекстом)
      5. Явное шифрование блочным шифром.
      Encoded Samples.zip FRST.zip message.zip
    • seregalazerniy
      Выбивает пользователей, которые работают в 1С через RDP
      От seregalazerniy
      Есть ряд пользователей которые работают в 1С через RDP, на Win 10. Их периодически "выбивает" из сессии и происходит переподключение к серверу, бывает что на дню по 15 раз, а бывает и ни разу, в чем может быть причина?
      В логах пусто
      На данный момент порыскав по просторам интернета набрел на отключение в сервере автотюнинга
      netsh interface tcp set global autotuninglevel=disabled
      Не помогло
      Все компы подключены по локальной сети, и подключение происходит по ней. Впн не используем.
    • Azward
      Зашифровались файлы hop_dec
      От Azward
      Добрый день! 
      Зашифровались все файлы на рабочей машине. В том числе 1с базы.
      [MJ-CR7920861453](decodehop@gmail.com )   Все файлы с таким расширением.
      Отправил во вложении Архив с файлом, и логи FRST
      Надеемся на вашу помощь. Стоял касперский Small office security. Не помог. Сейчас вовсе исчез.
      virus.rar Addition.txt FRST.txt
    • Федор45
      Базы зашифрованы
      От Федор45
      Добрый день!
      Утром получили зашифрованные базы 1С, другие продукты не тронуты
       
      FRST.txt Addition.txt
      для примера зашифрованный архив
      БАНК.rar
    • switchman
      Зашифрована спортивная школа
      От switchman
      Сегодня, утром обнаружили результаты работы шифровальщика. Помогите, пожалуйста!FbRST.rar
×
×
  • Создать...