Перейти к содержанию
Конкурс по разработке Telegram-бота Kaspersky Club

Обнаружил шифровальщика на компьютере

denchcom
 Поделиться

Рекомендуемые сообщения

denchcom Новичок

denchcom

Опубликовано
Опубликовано

Добрый день 29 числа обнаружил шифровальщика на компьютере. К данному компьютеру подключались 5 пользователей на нем была расширена общая папка для документов. Соответственно все файлы теперь зашифрованы. Был открыт RDP, также ломанули инсту. Поменял все пароли, закрыл РДП и пока ничего не делал т.к. уезжал.

Все сделал по вашей инструкции

 

Файлы имеют такой вид

eman@tutanota.de_7A656D616E.......

 

CollectionLog-2018.06.14-11.02.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Текстовый файл с требованием выкупа вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
Startup: E:\Users\Иван\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW DECRIPT FILES.hta [2018-05-28] ()
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Малов\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Малов\AppData\Roaming\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Малов\AppData\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Николай\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Николай\AppData\Roaming\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Николай\AppData\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Евфимовский\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Евфимовский\AppData\Roaming\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Евфимовский\AppData\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Юра\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Юра\AppData\Roaming\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Юра\AppData\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Чемерисов Д\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Чемерисов Д\AppData\Roaming\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Чемерисов Д\AppData\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Лазарев\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Лазарев\AppData\Roaming\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Лазарев\AppData\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Иван\Documents\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Иван\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Иван\AppData\Roaming\Microsoft\Windows\Start Menu\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Иван\AppData\Roaming\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\Иван\AppData\LocalLow\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\AppData\Local\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\AppData\Local\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\AppData\Local\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\AppData\Local\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\AppData\Local\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\AppData\Local\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\AppData\Local\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\AppData\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\AppData\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\AppData\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\AppData\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\AppData\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\AppData\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\\AppData\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\ \HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\ \AppData\Local\HOW DECRIPT FILES.hta
2018-05-28 22:39 - 2018-05-28 22:39 - 000009046 _____ E:\Users\ \AppData\HOW DECRIPT FILES.hta
2018-05-28 22:38 - 2018-05-28 22:38 - 000009046 _____ E:\Users\Иван\HOW DECRIPT FILES.hta
2018-05-28 22:38 - 2018-05-28 22:38 - 000009046 _____ E:\Users\Иван\AppData\Local\HOW DECRIPT FILES.hta
2018-05-28 22:38 - 2018-05-28 22:38 - 000009046 _____ E:\Users\Иван\AppData\HOW DECRIPT FILES.hta
2018-05-28 22:38 - 2018-05-28 22:38 - 000009046 _____ E:\Users\Public\HOW DECRIPT FILES.hta
2018-05-28 22:38 - 2018-05-28 22:38 - 000009046 _____ E:\Users\Public\Documents\HOW DECRIPT FILES.hta
2018-05-28 22:38 - 2018-05-28 22:38 - 000009046 _____ E:\Users\HOW DECRIPT FILES.hta
2018-05-28 22:38 - 2018-05-28 22:38 - 000009046 _____ E:\Users\Default\HOW DECRIPT FILES.hta
2018-05-28 22:38 - 2018-05-28 22:38 - 000009046 _____ E:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW DECRIPT FILES.hta
2018-05-28 22:38 - 2018-05-28 22:38 - 000009046 _____ E:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\HOW DECRIPT FILES.hta
2018-05-28 22:38 - 2018-05-28 22:38 - 000009046 _____ E:\Users\Default\AppData\Roaming\HOW DECRIPT FILES.hta
2018-05-28 22:38 - 2018-05-28 22:38 - 000009046 _____ E:\Users\Default\AppData\Local\HOW DECRIPT FILES.hta
2018-05-28 22:38 - 2018-05-28 22:38 - 000009046 _____ E:\Users\Default\AppData\HOW DECRIPT FILES.hta
2018-05-28 22:38 - 2018-05-28 22:38 - 000009046 _____ E:\Users\ЮÑа\HOW DECRIPT FILES.hta
2018-05-28 22:38 - 2018-05-28 22:38 - 000009046 _____ E:\Users\ЮÑа\Downloads\HOW DECRIPT FILES.hta
2018-05-28 22:13 - 2018-05-28 22:13 - 000009046 _____ E:\Users\Иван\Desktop\HOW DECRIPT FILES.hta
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Написано же

Упакуйте в архив и прикрепите файлы, которые не получилось расшифровать.

Самодеятельность чревата потерей информации

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
denchcom Новичок

denchcom

Опубликовано
  • Автор
Опубликовано

очень личное чтобы выкладывать публично, Один файл тут размещаю другой в ЛС

Здесь, есть файл АКт И Счет они не открываются

Январь.rar

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Vlad Kirsanov
      Майнер на компьютере обнаружен
      Автор Vlad Kirsanov
      Я обнаружил майнер который блокирует ссылки под неким Google DNS, я скину log из программы AVBr, мне нужно помощь с удалением вирусом вот log с программы AVBR
      AV_block_remove_2025.03.17-14.55.log
    • foroven
      Обнаружена сетевая атака
      Автор foroven
      Добрый день. После того как мы словили вирус шифровальщик и был установлен антивирусный продукт лаборатории Касперского, в его журнале каждый час стали появляться записи о сетевой атаке. Причем адрес атакующего компьютера это Linux-система с установленным Kerio Control. Может ли Касперсий так реагировать на его работу? Или он может быть заражен? Спасибо.
    • ARKHIPOV
      [РЕШЕНО] На компьютере обнаружил вирус майнера, не удаляется Касперским
      Автор ARKHIPOV
      Добрый день! Пару дней назад компьютер после стандартного запуска вывел синий экран (BSOD). При отключении интернет соединения данная проблема исчезла. Это побудило меня приобрести ключ к Касперскому (до этого пользовался Malware, пробником, который истек и защиту в реальном времени уже не оказывал). Проверив ПК на вирусы, обнаружились Трояны (к сожалению логов и скринов не сохранил, причина дальше). Вирус сидел в exeшнике GoogleUpdate. Отключил службы, связанные с апдейтом гугла, удалил файлы связанные с ним, после полной проверки перезагрузил ПК и обнаружил надпись в Касперском: "Некоторые компоненты защиты повреждены", переустановил К (сообщение пропало и логи про удаленный вирус тоже), снова проверил на вирусы, снова перезагрузил, получил тот же результат. У меня подозрение на наличие майнера, который не удаляется стандартным путем и сидит где-то в системных файлах и службах. Прошу помочь восстановить работу служб и системы. Без интернет соединения ПК летает хорошо, при подключении работает медленней.
      CollectionLog-2025.02.18-11.00.zip
    • Evg1066
      Зашифрованы файлы, шифровальщик обнаружить не смог, вид зашифрованного файла "<имя_файла>.<тип>.i54m390g5b4"
      Автор Evg1066
      Архив.7zAddition.txtFRST.txt
      Ночью было зашифровано множество файлов, Kaspersky Anti-Ransomware Tool показал присутствие Trojan.Win32.Bazon.a. Вручную обнаружить шифровальщика не получилось.
    • Zubarev211
      Зашифровали данные компьютера с помощью шифровальщика Xorist
      Автор Zubarev211
      Добрый день, поймали шифровальщик Xorist, зашифровали все файлы расширением *.er. Нужно было восстановить базу данных 1С. Из теневой папки получилось восстановить 1CD8.1CD
      Указанный файл не был зашифрован расширением .er, но при запуске выдавало ошибку о повреждении данных.

      Так же пытались вашим декриптором использовали пару 2х файлов, но так же получали ошибку(пробовали на документах ворд)

      Подскажите пожалуйста какие дальнейшие шаги нам нужно сделать, чтобы восстановить базу. Спасибо! 
×
×
  • Создать...