Перейти к содержанию
Важная информация для бета-тестеров

Зашифрованы файлы на ПК. tuta.io расширение - .rsu

s4.ikt
 Share

Рекомендуемые сообщения

s4.ikt Новичок

s4.ikt

Опубликовано
Опубликовано (изменено)

Добрый день.

 

Зашифровались даные и были преобразованы в файлы с расширением .rsu.

 

Проверка с помощью kaspersky virus removal tool не дала результатов.

Прикрепляю лог из autologger'а.

 

 

Буду благодарен за любую помощь.


Также, прикрепляю отчеты FRST

CollectionLog-2018.08.20-10.07.zip

FRST.zip

Изменено пользователем s4.ikt
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Фантастика! Умудрились зашифроваться двумя разными версиями шифровальщика Cryakl. Никаких шансов на расшифровку. Будет только зачистка мусора.

 

Пароль от RDP меняйте. Зашли, похоже, под пользователем zabbix.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
File: C:\Users\zabbix\Downloads\my.exe
File: C:\Users\zabbix\AppData\Local\Temp\ORTWADFHKM.exe
File: C:\Users\zabbix\AppData\Local\Temp\UVWWXYYZAA.exe
HKLM-x32\...\Run: [3053508] => 3053508
HKLM-x32\...\Run: [1335171] => 1335171
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\Documents\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\AppData\Roaming\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\zabbix\AppData\Local\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\Documents\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\AppData\Roaming\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\shabalin\AppData\Local\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\Documents\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\AppData\Roaming\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\alexsan\AppData\Local\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\Downloads\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\Desktop\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Program Files\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Program Files\Common Files\README.txt
2018-08-18 01:00 - 2018-08-18 01:22 - 000000069 _____ C:\Program Files (x86)\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Администратор\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\zabbix\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\zabbix\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\vita1ka\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\vita1ka\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Sniper_er\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Sniper_er\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\shabalin\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\shabalin\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\plekhanov\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\plekhanov\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\lda\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\lda\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\frolov\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\frolov\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Default\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\Default User\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\alexsan\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\alexsan\AppData\LocalLow\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\adm\AppData\README.txt
2018-08-18 01:00 - 2018-08-18 01:00 - 000000069 _____ C:\Users\adm\AppData\LocalLow\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Все пользователи\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Администратор\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\vita1ka\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Sniper_er\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Public\Desktop\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\plekhanov\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\lda\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\frolov\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\Default User\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\Documents\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\AppData\Roaming\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\Users\adm\AppData\Local\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\ProgramData\README.txt
2018-08-17 18:37 - 2018-08-18 01:22 - 000000069 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
Task: {F01C98AF-7AC5-4FAF-BD32-04AAE78924C4} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Ссылка на комментарий
Поделиться на другие сайты
s4.ikt Новичок

s4.ikt

Опубликовано
  • Автор
Опубликовано

Пользователя уже отключил насовсем. Тоже заметил от него подозрительную активность. Есть еще несколько зашифрованных машин, их логи для составления такого же текстовика-чистильщика могу скинуть?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Не нужно полностью цитировать выдаваемые Вам рекомендации.

 

Если другие пострадавшие машины были в одной сети с данной, то наверняка они пострадали по сети. Если нет, то по ним создайте отдельные темы.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Андрюс
      Файлы зашифрованы с расширением vTEyZg5DZ
      От Андрюс
      Получили по почте письмо, открыли его и сразу произошла шифровка всех документов. Прилагаем требуемые файлы
      x1.rar
      Скажите возможно ли расшифровать?
    • DennisKo
      Зашифровали файлы расширение ANDRE
      От DennisKo
      Помогите в расшифровке. Файлы kl_to_1C.txt это оригинал файла, а kl_to_1C_crypt.txt ' это зашифрованный файл. andre 
      может поможет в понимании как зашифровали. 

      Addition.txt Andrews_Help.txt FRST.txt kl_to_1c.txt kl_to_1c_crypt.txt
    • vogd
      Зашифрованы файлы, расширение HeeMY17Ky
      От vogd
      Добрый день. Все файлы сервера зашифрованы с расширением HeeMY17Ky
      HeeMY17Ky.README.txt FRST.txt Addition.txt Примеры файлов.zip
    • Иван Иванович Ивановский
      Шифровальщик зашифровал файлы расширение .6iENBa2rG
      От Иван Иванович Ивановский
      сегодня утром зашифровал все файлы
      часть данных у меня были на флешке, есть исходные, не зашифрованные файлы - положил их тоже в архив
      что это за тип шифровальщика, возможна ли расшифровка?
      и с компом чего теперь делать, возможно ли очистить и работать дальше или лучше все отформатировать и переустановить ?
       
      архив и логи FRST прилагаю
      Архив.7z Addition.txt FRST.txt
    • Алексей Шеин
      Файлы зашифрованы шифровальщиком с расширением .yzho
      От Алексей Шеин
      Добрый день.
       
      Зашифровались данные на дисках компьютера, все файлы стали с расширением .yzho кто подскажет, чем можно расшифровать?
      Спасибо.
       
      С уважением,
      Алексей Шеин
       

       
×
×
  • Создать...