Перейти к содержанию

.combo файлы от stopencrypt@qq.com

ArtAlex
 Share

Рекомендуемые сообщения

ArtAlex Новичок

ArtAlex

Опубликовано
Опубликовано

По всей видимости, через незащищенный RDP произошел взлом и были зашифрованы все файлы.

Доступ уже ограничил, осталось только почистить заразу и, в идеале восстановить файлы.

 

Пошарил подобные темы на форуме, +- почистил KVRT, собрал логи с помощью AutoLogger'а. Файлики в приложении.

 

Так же просканировал с FRST (Farbar Recovery Scan Tool). Репорты так же в приложении.

 

Пожалуйста, подскажите, что можно сделать.

 

Заранее спасибо.

 

Kindest Regards,
Aleksandr.
 

CollectionLog-2018.11.06-12.16.zip

FRST.txt

Shortcut.txt

Addition.txt

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Расшифровки нет. Будет только зачистка следов мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2018-11-05] ()
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\RunOnce: [{48014C57-3B2A-49CD-B87F-952FCB0EB603}] => cmd.exe /C start /D "C:\Users\Alex\AppData\Local\Temp" /B {48014C57-3B2A-49CD-B87F-952FCB0EB603}.cmd
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3020800471-500416173-3447199613-1001\...\Run: [C:\Users\Alex\AppData\Roaming\Info.hta] => C:\Users\Alex\AppData\Roaming\Info.hta [13919 2018-11-06] ()
Startup: C:\Users\Alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-11-06] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-11-05] ()
GroupPolicy: Restriction ? <==== ATTENTION
C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom
2018-11-05 17:55 - 2018-11-06 10:29 - 000013919 _____ C:\Users\Alex\AppData\Roaming\Info.hta
2018-11-05 17:55 - 2018-11-06 10:29 - 000000170 _____ C:\Users\Alex\Desktop\FILES ENCRYPTED.txt
2018-11-05 17:55 - 2018-11-05 17:55 - 000013919 _____ C:\Windows\system32\Info.hta
2018-11-05 17:55 - 2018-11-05 17:55 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Эдуард Прокопенко
      [РАСШИФРОВАНО]Расшифровка шифровальщика Crylock 2.0 [honestandhope@qq.com]
      От Эдуард Прокопенко
      Здравствуйте! Почти 4 года назад словили шифровальщик и почти весь hdd с файлами попал под него. Просьба посмотреть, можно ли расшифровать. Скидываю пару тестовых файлов
      files.rar
      Addition.txt FRST.txt
    • Leo_Pahomov
      расшифровка файлов
      От Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
    • Leo_Pahomov
      расшифровка файлов
      От Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
    • BeckOs
      Зашифрованы все файлы
      От BeckOs
      На компьютере зашифрованы все файлы. Атака была ночью 
      FRST.txt files.7z
    • BtrStr102
      Зашифрованы все файлы
      От BtrStr102
      Здравствуйте, утром зашёл в пк. Все файлы с разрешением AriSPiHDt. Удаляешь это окончание. Не открывает. Вес файлов не изменен.
       
      Антивирусы ничего не нашли.
       
       
       
       
       
       
       
       
×
×
  • Создать...