Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

 

Логи сделаны в терминальной сессии, сделайте их из консоли.

 

Если есть текстовый (или html) файл с требованием выкупа, его вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [No File]
    FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [No File]
    2018-08-08 06:14 - 2018-08-08 06:14 - 000005152 _____ C:\Program Files\how_to_back_files.html
    2018-08-08 06:12 - 2018-08-08 06:12 - 000005152 _____ C:\Program Files (x86)\how_to_back_files.html
    2018-08-08 05:57 - 2018-08-08 05:57 - 000005152 _____ C:\Users\Administrator\AppData\Local\Temp\how_to_back_files.html
    2018-08-08 05:54 - 2018-08-08 05:54 - 000005152 _____ C:\Users\Administrator\how_to_back_files.html
    2018-08-08 05:54 - 2018-08-08 05:54 - 000005152 _____ C:\Users\Administrator\Documents\how_to_back_files.html
    2018-08-08 05:54 - 2018-08-08 05:54 - 000005152 _____ C:\Users\Administrator\Desktop\how_to_back_files.html
    2018-08-08 05:37 - 2018-08-08 05:37 - 000005152 _____ C:\Users\Public\how_to_back_files.html
    2018-08-08 05:37 - 2018-08-08 05:37 - 000005152 _____ C:\Users\Public\Downloads\how_to_back_files.html
    2018-08-08 05:37 - 2018-08-08 05:37 - 000005152 _____ C:\Users\Public\Documents\how_to_back_files.html
    2018-08-08 05:37 - 2018-08-08 05:37 - 000005152 _____ C:\Users\Public\Desktop\how_to_back_files.html
    2018-08-08 05:37 - 2018-08-08 05:37 - 000005152 _____ C:\Users\how_to_back_files.html
    2018-08-08 05:37 - 2018-08-08 05:37 - 000005152 _____ C:\Users\Default\how_to_back_files.html
    2018-08-08 05:37 - 2018-08-08 05:37 - 000005152 _____ C:\ProgramData\how_to_back_files.html
    2018-08-08 06:14 - 2018-08-08 06:14 - 000005152 _____ () C:\Program Files\how_to_back_files.html
    2018-08-08 06:12 - 2018-08-08 06:12 - 000005152 _____ () C:\Program Files (x86)\how_to_back_files.html
    2018-08-08 05:57 - 2018-08-08 05:57 - 000005152 _____ () C:\Users\Administrator\AppData\Local\how_to_back_files.html
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

И сразу предупрежу. С рассшифровкой помочь не сможем, это GlobeImposter 2.0.

Ссылка на комментарий
Поделиться на другие сайты

Если есть лицензии на любой из продуктов Касперского, то на всякий случай, создайте запрос на расшифровку.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • WhySpice
      От WhySpice
      Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox

      Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ
      Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt
      README.txt
    • sater123
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • BOBO
      От BOBO
      Попросили создать новую тему не знаю почему ту закрыли вот создаю. Меня тоже взломали 25 числа hdd весит на роутере, smb открыт был. Покапалься в файлах были несколько оригинальных файлов и вроде шифрование AES в режиме ECB. Встал вопрос можно ли найти ключ шифрования если например нашел зашифрованный блок пробелов 16 байт. 
    • FineGad
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
×
×
  • Создать...