Перейти к содержанию

шифровальщик audit@cock.li

Deppa
 Share

Рекомендуемые сообщения

Deppa Новичок

Deppa

Опубликовано
Опубликовано

Примерно так теперь выглядят зашифрованные файлы.

sample.doc.id-USERID.[audit@cock.li].risk

WinServ2012R2. На машине стоит агент от KSC 10. Злоумышленник получил доступ к админской учетке перебором, перебором же вырубил агента. (Пока предположение, анализ в процессе)

На данный момент выполнена проверка KVRT , удалено два trojan-ransom.win32.crusis.to , RakhniDecryptor результата не дал.

Просьба помочь.

 

Файл сборщика логов в приложении.

CollectionLog-2018.12.03-16.17.zip

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
CreateRestorePoint:
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-11-30] ()
2018-11-30 22:33 - 2018-11-30 22:33 - 000013904 _____ C:\Users\Test\AppData\Roaming\Info.hta
File: C:\Windows\SysWOW64\haspaddr.dat
Folder: C:\Users\Test\WINDOWS
File: C:\Users\Deppa\AppData\Local\Temp\nagrest.exe
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.

 

 

Обратите внимание, на системные события:

Error: (12/04/2018 11:53:44 AM) (Source: Ntfs) (EventID: 55) (User: NT AUTHORITY)
Description: Обнаружено повреждение в структуре файловой системы на томе D:.

Основная таблица файлов (MFT) содержит поврежденную запись файла.  Номер ссылки файла: 0x1000000000bc7.  Имя файла: "<не удалось определить имя файла>".

При этом важно не выполнять проверку диска, если имееются важные данные на нем.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Пользователь Владимир
      Шифровальщик Demetro9990@cock.li
      От Пользователь Владимир
      Доброго дня.
      На компьютере большинство файлов сменили расширение, в конце дописано Demetro9990@cock.li
      После поиска информации в интернете выяснил что шифровальщик.
      Прошу вашей помощи в расшифровке и удалению программы с ПК.
      Примеры файлов в архиве, текстовый сообщение от вымогателей.
      README.txt зашифрован.rar Addition.txt FRST.txt
    • Тимур М
      Шифровальщик Demetro9990@cock.li зашифровал все файлы на ПК
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
    • Profssn
      Расшифровка decrypting@cock.li
      От Profssn
      Нужна помощь расшифровать. Поймали на другом ПК с другой windows. Windows удален. Файлы переименованы на расшерение decrypting@cock.li
      Новая сжатая ZIP-папка.zip Addition.txt FRST.txt
    • InnaC
      Файлы зашифрованы .Demetro9990@cock.li
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
×
×
  • Создать...