Перейти к содержанию

Зашифрованы данные через RDP Billy_will_help_you@protonmail.com

zxcnick
 Share

Рекомендуемые сообщения

zxcnick Новичок

zxcnick

Опубликовано
Опубликовано

Решил настроить между домом и офисом RDP. Настроил порты включил все "разрешалки", попользовался и забыл, через несколько дней обнаружил что стоит не мой пароль "на вход". Путем инструкций через интернет пароли были сброшены. Браузер "google chrome' не запускался и нужные мне документы оказались зашифрованы.

файл протоколов приткладываю.

CollectionLog-2018.08.09-03.48.zip

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

HiJackThis (из каталога autologger)профиксить

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.2345.com/?ktonyde
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://www.2345.com/?ktonyde



- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
File: C:\Program Files (x86)\Paragon Software\HFS+ for Windows\apmwinsrv.exe
File: C:\Windows\System32\MsSpellCheckingFacility.exe
HKU\S-1-5-21-1005186238-1470946419-2858201406-1000\...\MountPoints2: {effba4df-e023-11e7-9ed1-1c497bb22889} - D:\ZUK_UsbDriver_1.0.6.exe
HKU\S-1-5-21-1005186238-1470946419-2858201406-1000\...\MountPoints2: {effba4e4-e023-11e7-9ed1-1c497bb22889} - D:\ZUK_UsbDriver_1.0.6.exe
HKU\S-1-5-21-1005186238-1470946419-2858201406-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?ktonyde
HKU\S-1-5-21-1005186238-1470946419-2858201406-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.2345.com/?ktonyde
FF Plugin-x32: @t.garena.com/garenatalk -> C:\Program Files (x86)\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll [No File]
CHR HKU\S-1-5-21-1005186238-1470946419-2858201406-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
File: C:\Windows\System32\alg.exe
File: C:\Windows\System32\eapsvc.dll
2018-08-05 01:21 - 2018-08-08 19:47 - 000001202 _____ C:\Windows\ReadMe_Decryptor.txt
2018-08-05 00:35 - 2018-08-05 00:47 - 000003400 _____ C:\Users\macbro\AppData\Roaming\Info.hta.[Billy_will_help_you@protonmail.com].java
2018-08-05 00:35 - 2018-08-05 00:35 - 000000601 _____ C:\ReadMe_Decryptor.txt
2018-08-05 00:34 - 2018-08-05 00:34 - 000000601 _____ C:\Users\macbro\ReadMe_Decryptor.txt
2018-08-05 00:33 - 2018-08-08 19:24 - 000001202 _____ C:\Users\macbro\AppData\Roaming\ReadMe_Decryptor.txt
2018-08-05 00:33 - 2018-08-05 00:33 - 000000601 _____ C:\Users\macbro\Downloads\ReadMe_Decryptor.txt
2018-08-04 22:44 - 2018-08-04 22:44 - 000000601 _____ C:\Users\macbro\Documents\ReadMe_Decryptor.txt
Folder: C:\flexlm
2018-08-08 19:24 - 2018-08-08 19:24 - 000003400 _____ () C:\Users\macbro\AppData\Roaming\Info.hta
2018-08-05 00:35 - 2018-08-05 00:47 - 000003400 _____ () C:\Users\macbro\AppData\Roaming\Info.hta.[Billy_will_help_you@protonmail.com].java
2018-08-05 00:33 - 2018-08-08 19:24 - 000001202 _____ () C:\Users\macbro\AppData\Roaming\ReadMe_Decryptor.txt
2018-05-15 19:47 - 2018-05-15 19:47 - 049930168 _____ (Sony) C:\Users\macbro\AppData\Local\Temp\xcs17B7.tmp.exe
AlternateDataStreams: C:\Users\Public\DRM:احتضان [98]
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

К сожалению с расшифровокй не поможем. Если у Вас есть действующая лицензия на продукты Лаборатории Касперского, то пробуйте выполнить следующие инструкции.

https://forum.kasperskyclub.ru/index.php?showtopic=48525

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Дмитрий С1990
      Зашифровали данные
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • xx3l
      Очередной .ooo4ps по ходу через RCE/RDP
      От xx3l
      Есть шансы порасшифровать?
       
      1. Явно подключались по RDP в процессе
      2. Почистили журналы Windows
      3. Что нехарактерно - часть файлов по маске .txt не зашифровали
      4. Ключ явно зависит от имени файла, но не от пути (есть 2 идентичных файла, в разных папках, с одинаковым шифртекстом)
      5. Явное шифрование блочным шифром.
      Encoded Samples.zip FRST.zip message.zip
    • seregalazerniy
      Выбивает пользователей, которые работают в 1С через RDP
      От seregalazerniy
      Есть ряд пользователей которые работают в 1С через RDP, на Win 10. Их периодически "выбивает" из сессии и происходит переподключение к серверу, бывает что на дню по 15 раз, а бывает и ни разу, в чем может быть причина?
      В логах пусто
      На данный момент порыскав по просторам интернета набрел на отключение в сервере автотюнинга
      netsh interface tcp set global autotuninglevel=disabled
      Не помогло
      Все компы подключены по локальной сети, и подключение происходит по ней. Впн не используем.
    • AntonZinch
      Зашифровали файлы, доступ через RDP, расширение .kasper
      От AntonZinch
      Собственно зашифровали файлы :( Сначала винда ругалась на бесконечную блокировку учетки по РДП, затем случилось это.
      Вымогатели просят 0.3 биткоина, машинка обычная домашняя. Вирусы удалил

       
      подскажите, без приватного ключа не расшифровать? 
       
      Информации в интернете по поводу .kasper не нашел совсем. Размер файлов не меняется, на всякий случай так же прикладываю оригинал файла
      111222.vDoc.EMAIL=[kasperskyrans@gmail.com]ID=[BACCC62C15243EF0].kasper.zip 111222.vDoc.zip
    • AYu
      Зашифровали данные сервера. Расширение .griffin
      От AYu
      Взломали сервер, зашифровали данные, требуют выкуп. Может ктосталкивался с ним? Ведем переговоры с *****
      yFhK8sxrC0.rar
×
×
  • Создать...