Перейти к содержанию

Дешифровка файлов, вирус Trojan.Win32.Agent.nezeod

Алексей Ананьев

От Алексей Ананьев
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Алексей Ананьев Новичок

Алексей Ананьев

Опубликовано
Опубликовано

Доброго времени суток, при запуске компьютера на фоновом изображении рабочего стола написано "Внимание! Все важнейшие файлы на всех дисках вашего компьютера были зашифрованы. Подробности можете прочитать в файлах README.txt, которые можно найти на любом из дисков.". Файл README.txt прикрепил к теме.

Я скачал Kaspersky Virus Removal Tool, были обнаружены и удалены вирусы, отчет приложен- файлы KVRT,KVRT2.

Как произвести дешифровку файлов?

Спасибо.

CollectionLog-2018.12.15-18.25.zip

post-52251-0-16475600-1544893843_thumb.png

post-52251-0-08021400-1544893844_thumb.png

README1.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Как и предполагал, это Shade и расшифровки нет.

 

Только зачистка мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
Toolbar: HKU\S-1-5-21-3622270217-2551357437-493787613-1000 -> No Name - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} -  No File
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -  No File
CHR HKU\S-1-5-21-3622270217-2551357437-493787613-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3622270217-2551357437-493787613-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3622270217-2551357437-493787613-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
S2 wlanmgr; %SystemRoot%\System32\wlanmgr.dll [X]
S2 wsaudio; %SystemRoot%\System32\wsaudio.dll [X]
S3 EsgScanner; no ImagePath
2018-12-12 18:55 - 2018-12-13 19:25 - 000000000 __SHD C:\Users\Все пользователи\Resources
2018-12-12 18:55 - 2018-12-13 19:25 - 000000000 __SHD C:\ProgramData\Resources
2018-12-12 18:55 - 2018-12-13 18:59 - 000000000 __SHD C:\Users\Все пользователи\SysWOW64
2018-12-12 18:55 - 2018-12-13 18:59 - 000000000 __SHD C:\ProgramData\SysWOW64
2018-12-12 18:53 - 2018-12-13 19:25 - 000000000 __SHD C:\Users\Все пользователи\services
2018-12-12 18:53 - 2018-12-13 19:25 - 000000000 __SHD C:\ProgramData\services
2018-12-12 18:20 - 2018-12-12 18:20 - 006220854 _____ C:\Users\Alex\AppData\Roaming\34BE8FB234BE8FB2.bmp
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README9.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README8.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README7.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README6.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README5.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README4.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README3.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README2.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README10.txt
2018-12-11 19:50 - 2018-12-12 18:59 - 000000000 __SHD C:\Users\Все пользователи\Windows
2018-12-11 19:50 - 2018-12-12 18:59 - 000000000 __SHD C:\ProgramData\Windows
ShellIconOverlayIdentifiers: [    YndCase0Sync] -> {63D48440-63AB-44D0-B323-4731DFCDE9E9} => C:\Users\Alex\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [    YndCase1Modified] -> {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} => C:\Users\Alex\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [    YndCase2Error] -> {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} => C:\Users\Alex\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [    YndCase3Shared] -> {AF8D197E-7022-4c3d-BD88-68AD35C9C169} => C:\Users\Alex\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} =>  -> No File
AlternateDataStreams: C:\Windows\system32\icardagt.exe:$CmdTcID [130]
AlternateDataStreams: C:\Windows\system32\icardres.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\IEUDINIT.EXE:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\infocardapi.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\TsWpfWrp.exe:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\icardagt.exe:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\icardres.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\infocardapi.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\TsWpfWrp.exe:$CmdTcID [64]
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [146]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [146]
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Восстанавливать из резервных копий, если таковые имеются. Если нет, увы. Помогут только сами злодеи, если они окажутся честными.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • NeVoms
      Trojan.Win32.SEPEH
      От NeVoms
      Памогите удалить вирус я сначала удалял через Kasperky но после перезагрузки он не удалялся потом через Kasperky virus removal tool и тоже самое после перезагрузки он не удалялся 
    • TVagapov
      Помощь в дешифровке DarkStar
      От TVagapov
      14 августа вечером на компанию совершена атака шифровальщиком. Заражён контроллер домена, антивирус с обновлёнными базами не среагировал. Часть компьютерв в сети оказались заражены. На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными).  На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\***.RU\\net;logon\ds.exe
       
      Прикладываю логи сканера, требования, образцы зашифрованых и оригинальных файлов.
       
      Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.
      Logs_Files.7z
    • Elly
      Викторина по шифровальщикам и дешифровке. Правила
      От Elly
      Друзья! 
       
      На нашем форуме существует отдельный раздел для борьбы с шифровальщиками, куда нередко обращаются пострадавшие пользователи. Для повышения информированности о данной теме мы создали викторину, посвященную шифровальщикам и методам их дешифровки.
      Данная викторина – это интерактивный тест, который поможет вам разобраться в угрозах, связанных с шифровальщиками. Готовы проверить свои знания и умения в области информационной безопасности? У вас есть возможность помериться силами с другими участниками и узнать, насколько хорошо вы знакомы с утилитами "Лаборатории Касперского" от вирусов-шифровальщиков, указанных на сайте Noransom. Исследуйте разнообразные вопросы о механизмах работы шифровальщиков и приемах, используемых для их нейтрализации. Идеально подходит как для новичков, так и для более опытных пользователей, желающих обновить свои знания.
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1500 баллов Одна ошибка — 1000 баллов Две ошибки — 700 баллов  
      ПРАВИЛА ПРОВЕДЕНИЯ
      Викторина проводится до 20:00 27.01.2025 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @kmscom(пользователей @Friend и @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответ будет дан в рамках созданной переписки, коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • Dmitry Axe
      [РЕШЕНО] Trojan.Win32.SEPEH
      От Dmitry Axe
      Добрый день. В последнее время была обнаружена аномальная загрузка ЦП и памяти при очевидном бездействии приложений. Был приобретен и установлен Kaspersky Premium. При проверке был выявлен вирус майнер Trojan.Win32.SEPEH, пойман возможно в начале 2025 года, при каких условиях не совсем понятно. ОС WIN 11 pro 23H2. Также буквально несколько дней назад при попытке скачивания обновления ОС при перезагрузке системы ОС зависла, системы сама вернулась на прошлую версию ОС. При проверке Kaspersky пытается вылечить троян, но при попытке перезагрузки ОС вылетает синее окно с ошибкой. Потом перезапуск, и троян обнаруживатеся по новому. В безопасном режиме ОС также же пробовал удалить трояна - вроде получилось, но при возврате к нормальной версии ОС троян обнаружился снова - видимо идет постоянный анализ и загрузка из вне.  Форум смотрел, но решение такого рода проблем судя по всему индивидуальное и решается либо скриптом, либо переустановкой ОС полной. Прошу помощи.
      CollectionLog-2025.01.20-17.45.zip
    • user01221
      Trojan.Win32.Hosts2.gen
      От user01221
      Решил проверить компьютер Kaspersky Virus Removal Tool, файл не лечится, после удаления появился сноваCollectionLog-2025.02.01-22.57.zip
      CollectionLog-2025.02.01-22.57.zip
×
×
  • Создать...