Перейти к содержанию

Шифровальщик WESKER


Рекомендуемые сообщения

Словил шифровальщик WESKER на двух компах,были в сети.На одном вообще парализовало работу-не работает практически ни одна программа,файлы зашифрованы,на втором-зашифровало половину файлов.

Прикладываю логи с первого компа.

CollectionLog-2019.05.29-14.11.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Пару небольших зашифрованных файлов вместе с одним из файлов с именем

!!!INSTRUCTION_RNSMW!!!.txt

упакуйте в архив и прикрепите к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM-x32\...\RunOnce: [{6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}] => cmd.exe /C start /D "C:\Users\2BA0~1\AppData\Local\Temp" /B {6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}.cmd
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
    Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
    Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
    Startup: C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
    Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Смените пароль на RDP, взлом произошел позавчера в 03:41.

Ссылка на комментарий
Поделиться на другие сайты

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM-x32\...\RunOnce: [{6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}] => cmd.exe /C start /D "C:\Users\2BA0~1\AppData\Local\Temp" /B {6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}.cmd
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
    Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
    Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
    Startup: C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
    Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Смените пароль на RDP, взлом произошел позавчера в 03:41.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Вымогатель относительно новый и пока в стадии изучения.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Вымогатель относительно новый и пока в стадии изучения.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

Лицензия Касперского есть.Запрос на расшифровку отправил

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

-------------------------------- [ Arch ] ---------------------------------

WinRAR 4.00 (64-разрядная) v.4.00.0 Внимание! Скачать обновления

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader 9.3 - Russian v.9.3.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

---------------------------- [ UnwantedApps ] -----------------------------

Голосовой помощник Алиса v.4.2.5.1781 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • kokc1979
      От kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
    • Saul
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
×
×
  • Создать...