Перейти к содержанию

Вирус шифровальщик с расширением .ENTER

Сергей Сергеев

Автор Сергей Сергеев
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Сергей Сергеев

Сергей Сергеев

Опубликовано
Опубликовано

Вирус шифровальщик с расширением .ENTER

файлы HELP HELP HELP.TXT содержат такой текст:

------------------------

All your files are encrypted!

Your ID

o4QAAAAAAABQIYPAHZQL1gNACAOjBOJzzshtpexNax5fECMRf0Vqri=+TaRi5UxN=Zh9eDigPDp+ppG11jZOlPeWt5Rq0tOxnjO2
tZewVgwZ1yQ5K0=0KdVWdxcLajVU9SdifGl7d6ggYfmqOgtS0fihsaC6gKPvefWUp1ugjMw76d2tfz1kbFsv1wfYie37faYRSshX
I8L5idqJupQ3ofPGtX9UGT0xcUBJ93Ijugnhv02p7KR4=sB4Nn9NSnOjtDU5trBv1VPVvtmuIzPd94peNe4fIKAZ04gNGNbsZcfH
bkRoFidb1dKlLA0bIe6+At93+nxo6xkAdcrB5c8k=qCU6WdUkJURCdLOlyQXA945ShYt2C7BGBAeYFJKfwu=GdeaN9cy2sM31TcI
b56uwBQHcylFAhXYrsIL1gq2U+r1G+QL3BGBX737yaCXBdtFvrp4DQfHXrz5KHd8HRGnJCVALvBYIkqnaJr++Dui7QwOXMGG1tWD
fqeMEe3lx6IiDh1J1jiQONj+1UAmZqL9MAnzvmXu6TakMiwmutcQ6dhgkmX9SZA3HD03egXpkMj1DTEmcY0t5HvJ54+T8fi4RHDM
wsL7lG2PDXcjtsOSfFIFuYiJnrVinLfQm9cp32BwBJIwMCIMKA7mkgSfY8YLPKYHawaeBHFwKwdnXCTa1G5o8nfqankREoZ7T9lI
J5VkcE00IIeO5DQicmHJr6VBZ1bkDbtj9EBwpRFknM1=pjAdQTwTNAFudsnsJnM5AlgErnxJcGQ3Ey3INR45kBcga+PDgs=OFKAk
FlXP0rZ4uVJwdmSTYk53SInrLDr2Y6v3BAzRAItxVHw

Get a decoder:

enter_software@aol.com
enter_software@india.com


If you can not contact by mail
* Register on the site http://bitmsg.me (Bitmessage online sending service)
* Write a letter BM-2cTXnB6dEE6TdHmAJCnEHp9PdsPThtS5n4 with your mail and ID.
If the site does not work, use vpn or torproject.org

----------------------------
пример 2-х заражённых и лог файлов в архиве

123.zip

CollectionLog-2018.12.03-16.50.zip

mike 1

mike 1

Опубликовано
Опубликовано

Ошибок во время работы Автологгера не было? Процесс сканирования Автологгером не нарушался?

Сергей Сергеев

Сергей Сергеев

Опубликовано
  • Автор
Опубликовано

Ошибок во время работы Автологгера не было? Процесс сканирования Автологгером не нарушался?

попробую повторить процесс, если честно - не могу ответить на ваш вопрос, как таковых ошибок не заметил...

если суть в этом -то попробую заново запустить.... 

mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
mike 1

mike 1

Опубликовано
Опубликовано

 

2018-11-16 05:42 - 2018-11-16 05:42 - 000001218 _____ C:\HELP HELP HELP.TXT

2018-11-16 05:36 - 2018-11-16 05:36 - 000000000 ____D C:\Users\DIREKTOR\AppData\Roaming\Process Hacker 2

Удаленно зашли в 5:36 утра. 

 

 

and123123 (S-1-5-21-942902528-1397462433-3243510760-1021 - Administrator - Enabled)

Если это не Ваша учетная запись, то судя по всему доступ к Вашему серверу продали на черном рынке. 

 

Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

Сергей Сергеев

Сергей Сергеев

Опубликовано
  • Автор
Опубликовано

Какая вероятность удачного решения? 

mike 1

mike 1

Опубликовано
Опубликовано

Здесь каждый случай индивидуален, следовательно кому-то могут помочь, а кому-то нет.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • shougo04
      [РЕШЕНО] Подозрительный процесс/файл WinDivert64.sys с описанием схожим на вирус?
      Автор shougo04
      Не заходил в Discord очень долго, увидел на почте gmail что кто-то меня отметил в сообщении, решил глянуть, оказалось Discord не работает, скачал zapretdisyt, он так и не заработал.
      Подумал ладно, не судьба. Удалил zapret и позже удалю и Discord. При удалении zapretdisyt вылезло вот такое сообщение описание файла WinDivert64.sys в котором меня насторожило слово bitcoin, страшно.
       
       
      Прикрепляю логи от программы miderfinder; autologger ниже со скриншотом при удалении файла. 
       

       
      MinerSearch_26.12.2025_3-24-55.logreport2.logreport1.logCollectionLog-2025.12.26-03.20.zip
       
       
      Живу +4 от МСК поэтому смогу ответить только после 08:00 по МСК как встану, пост отправил в 03:33 ночи. Заранее огромное спасибо любому, кто ответит здесь или уделит любой вид внимания этому посту. я вас всех люблю
    • nsemak
      Необходима помощь в расшифровке файлов
      Автор nsemak
      Добрый день. Прошу помощи в расшифровке данных. Все по классике. Бухгалтер работала в терминальном сервере с правами админа, открыла почту и приехали. В архиве логи с программы "Farbar Recovery Scan Tool", зашифрованые файлы и файл о выкупе. 
       
      Файлы для анализа.zip
    • 21_bibon
      Dr.Web cureIt не смог удалить NET:MINERS:URL
      Автор 21_bibon
      Здравствуйте! помогите пожалуйста. Dr web не смог удалить NET:MINERS:URL по пути \net\1748\TCP\91.184.248.138-3333\Device\HarddiskVolume3\Windows\System32\dialer.exe
      CollectionLog-2025.12.09-00.37.zip 
    • 1ceman
      Два explorer.exe в ДЗ
      Автор 1ceman
      Доброго времени суток. Смотрю тут обсуждается тема "ДВУХ ПРОВОДНИКОВ". Я тоже имею такую же проблему. Схватил буквально недавно, где, - так и не понял. (подозрение на какое то обновление Windows)
      Как заметил: если запустить "Диспетчер учетных данных" и закрыть, потом уже не запустишь. Так же почти со всеми остальными параметрами системы. Панель управления тоже не открывается. И так до момента пока не закроешь проводник с меньшим размером в ДЗ. Второй экземпляр проводника в 5 раз меньше "оригинала" и с хвостом C:\Windows\explorer.exe /factory,{5BD95610-9434-43C2-886C-57852CC8A120} -Embedding
      Отсканировал FRST-ом, ничего подозрительного не нашел, кроме пары отключенных политик (брандмауэр и update windows). Пофиксил, пропала надпись бесящая, что вами управляет какая то компании или что-то в этом роде. Теперь могу включать-отключать брандмауэр (до этого не мог).
      Помогите поймать этого червя, сомневаюсь что microsoft прислал такое KB, иначе проблема имела бы массовый характер.
      PS Я продвинутый пользователь, просто так пропустить не мог так внимательно слежу за системой и не "запускаю все подряд" .
      Спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • usu
      Два проводника.
      Автор usu
      В Диспетчере задач и Приложений-мониторинге, два проводника "explorer.exe" и "Explorer.EXE" оба ведут к одном место расположению.
      "Explorer.EXE" Нагружает все свободные ресурсы компьютера пока не открыть Диспетчер задач или Приложение-мониторинг(с его неизменненым названием). Анти вирусы и детекторы не видят, но при закрытий вредносного "Explorer.EXE" через приложение мониторинг, он не открывается более 3 дней, а затем снова появляется. Так-же в "Process Hacker 2 "Explorer.EXE" имеет Username "NT AUTHORITY SYSTEM", а "explorer.exe" DEKSTOP.



×
×
  • Создать...