Перейти к содержанию

Вирус шифровальщик с расширением .ENTER

Сергей Сергеев

Автор Сергей Сергеев
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Сергей Сергеев

Сергей Сергеев

Опубликовано
Опубликовано

Вирус шифровальщик с расширением .ENTER

файлы HELP HELP HELP.TXT содержат такой текст:

------------------------

All your files are encrypted!

Your ID

o4QAAAAAAABQIYPAHZQL1gNACAOjBOJzzshtpexNax5fECMRf0Vqri=+TaRi5UxN=Zh9eDigPDp+ppG11jZOlPeWt5Rq0tOxnjO2
tZewVgwZ1yQ5K0=0KdVWdxcLajVU9SdifGl7d6ggYfmqOgtS0fihsaC6gKPvefWUp1ugjMw76d2tfz1kbFsv1wfYie37faYRSshX
I8L5idqJupQ3ofPGtX9UGT0xcUBJ93Ijugnhv02p7KR4=sB4Nn9NSnOjtDU5trBv1VPVvtmuIzPd94peNe4fIKAZ04gNGNbsZcfH
bkRoFidb1dKlLA0bIe6+At93+nxo6xkAdcrB5c8k=qCU6WdUkJURCdLOlyQXA945ShYt2C7BGBAeYFJKfwu=GdeaN9cy2sM31TcI
b56uwBQHcylFAhXYrsIL1gq2U+r1G+QL3BGBX737yaCXBdtFvrp4DQfHXrz5KHd8HRGnJCVALvBYIkqnaJr++Dui7QwOXMGG1tWD
fqeMEe3lx6IiDh1J1jiQONj+1UAmZqL9MAnzvmXu6TakMiwmutcQ6dhgkmX9SZA3HD03egXpkMj1DTEmcY0t5HvJ54+T8fi4RHDM
wsL7lG2PDXcjtsOSfFIFuYiJnrVinLfQm9cp32BwBJIwMCIMKA7mkgSfY8YLPKYHawaeBHFwKwdnXCTa1G5o8nfqankREoZ7T9lI
J5VkcE00IIeO5DQicmHJr6VBZ1bkDbtj9EBwpRFknM1=pjAdQTwTNAFudsnsJnM5AlgErnxJcGQ3Ey3INR45kBcga+PDgs=OFKAk
FlXP0rZ4uVJwdmSTYk53SInrLDr2Y6v3BAzRAItxVHw

Get a decoder:

enter_software@aol.com
enter_software@india.com


If you can not contact by mail
* Register on the site http://bitmsg.me (Bitmessage online sending service)
* Write a letter BM-2cTXnB6dEE6TdHmAJCnEHp9PdsPThtS5n4 with your mail and ID.
If the site does not work, use vpn or torproject.org

----------------------------
пример 2-х заражённых и лог файлов в архиве

123.zip

CollectionLog-2018.12.03-16.50.zip

mike 1

mike 1

Опубликовано
Опубликовано

Ошибок во время работы Автологгера не было? Процесс сканирования Автологгером не нарушался?

Сергей Сергеев

Сергей Сергеев

Опубликовано
  • Автор
Опубликовано

Ошибок во время работы Автологгера не было? Процесс сканирования Автологгером не нарушался?

попробую повторить процесс, если честно - не могу ответить на ваш вопрос, как таковых ошибок не заметил...

если суть в этом -то попробую заново запустить.... 

mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
mike 1

mike 1

Опубликовано
Опубликовано

 

2018-11-16 05:42 - 2018-11-16 05:42 - 000001218 _____ C:\HELP HELP HELP.TXT

2018-11-16 05:36 - 2018-11-16 05:36 - 000000000 ____D C:\Users\DIREKTOR\AppData\Roaming\Process Hacker 2

Удаленно зашли в 5:36 утра. 

 

 

and123123 (S-1-5-21-942902528-1397462433-3243510760-1021 - Administrator - Enabled)

Если это не Ваша учетная запись, то судя по всему доступ к Вашему серверу продали на черном рынке. 

 

Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

Сергей Сергеев

Сергей Сергеев

Опубликовано
  • Автор
Опубликовано

Какая вероятность удачного решения? 

mike 1

mike 1

Опубликовано
Опубликовано

Здесь каждый случай индивидуален, следовательно кому-то могут помочь, а кому-то нет.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • nsemak
      Необходима помощь в расшифровке файлов
      Автор nsemak
      Добрый день. Прошу помощи в расшифровке данных. Все по классике. Бухгалтер работала в терминальном сервере с правами админа, открыла почту и приехали. В архиве логи с программы "Farbar Recovery Scan Tool", зашифрованые файлы и файл о выкупе. 
       
      Файлы для анализа.zip
    • 21_bibon
      Dr.Web cureIt не смог удалить NET:MINERS:URL
      Автор 21_bibon
      Здравствуйте! помогите пожалуйста. Dr web не смог удалить NET:MINERS:URL по пути \net\1748\TCP\91.184.248.138-3333\Device\HarddiskVolume3\Windows\System32\dialer.exe
      CollectionLog-2025.12.09-00.37.zip 
    • 1ceman
      Два explorer.exe в ДЗ
      Автор 1ceman
      Доброго времени суток. Смотрю тут обсуждается тема "ДВУХ ПРОВОДНИКОВ". Я тоже имею такую же проблему. Схватил буквально недавно, где, - так и не понял. (подозрение на какое то обновление Windows)
      Как заметил: если запустить "Диспетчер учетных данных" и закрыть, потом уже не запустишь. Так же почти со всеми остальными параметрами системы. Панель управления тоже не открывается. И так до момента пока не закроешь проводник с меньшим размером в ДЗ. Второй экземпляр проводника в 5 раз меньше "оригинала" и с хвостом C:\Windows\explorer.exe /factory,{5BD95610-9434-43C2-886C-57852CC8A120} -Embedding
      Отсканировал FRST-ом, ничего подозрительного не нашел, кроме пары отключенных политик (брандмауэр и update windows). Пофиксил, пропала надпись бесящая, что вами управляет какая то компании или что-то в этом роде. Теперь могу включать-отключать брандмауэр (до этого не мог).
      Помогите поймать этого червя, сомневаюсь что microsoft прислал такое KB, иначе проблема имела бы массовый характер.
      PS Я продвинутый пользователь, просто так пропустить не мог так внимательно слежу за системой и не "запускаю все подряд" .
      Спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • usu
      Два проводника.
      Автор usu
      В Диспетчере задач и Приложений-мониторинге, два проводника "explorer.exe" и "Explorer.EXE" оба ведут к одном место расположению.
      "Explorer.EXE" Нагружает все свободные ресурсы компьютера пока не открыть Диспетчер задач или Приложение-мониторинг(с его неизменненым названием). Анти вирусы и детекторы не видят, но при закрытий вредносного "Explorer.EXE" через приложение мониторинг, он не открывается более 3 дней, а затем снова появляется. Так-же в "Process Hacker 2 "Explorer.EXE" имеет Username "NT AUTHORITY SYSTEM", а "explorer.exe" DEKSTOP.



    • heathern
      Помогите удалить вирус!!
      Автор heathern
      К большому сожалению, я скачала какой-то zip файл на 2 с чем-то гб (это был мод) из вк по старой ссылке. Сначала, я ничего даже не заметила, но после того, как я его разархивировала и поместила в папку, в которой должен был быть сам мод, у меня открылась командная строка(Я проверила файл на вирус тотал и он показался трояном, а потом уже понеслось) "Хост Windows Shell Expenince" и в диспетчере задач она теперь там ПОСТОЯННО находится. При открытии диспетчера задач у меня диск загружен на 100% как и цп на 75%(может 71%, все равно много) и я вроде как удалила сам ярлык с игрой и этим модом, но теперь у меня так каждый раз (до того, пока я не удалила, диск не был нагружен на 100% и было всего 20-30 цп)  но нагружает не хост, а именно очень странные файлы как: System, Microsoft OneDrive и Power Toys.Run (я скачивала Power Toys до всего этого) меня очень смущает "System", ведь у него большое энергопотребление. Я сидела 2 часа (а то и так-то 3) смотрела какой-то тутор как его удалить, но все сходилось на том, что я не могла установить антивирус Касперский, нужна была перезагрузка, а я боялась, что у меня все слетит к чертям. Я старалась что-то искать, но ничего не нашла, я вообще не знаю что именно искать и как это убрать. Я пыталась найти что-то в resmon, делала mrt несколько раз, заходила в redget, но resmon люто лагал, а в поиске redget, я хотела найти сам троян, но он тоже тупил. Очень надеюсь, что мне хоть как-нибудь помогут тут ;(
      (Я уже заходила в безопасный режим и старалась вернуть права админа, чтобы удалить это, и после того как я хоть что-то удалила, стало только в разы хуже... Доктор веб не пробовала сканировать, у меня файл тупо не открывался, как и Касперский. На фотках ЦП мало, но после ещё очередной перезагрузки, он поднялся до 70%) И извиняюсь за мыльное качество


×
×
  • Создать...