Перейти к содержанию

Шифровальщик WESKER

IZERLI87
 Поделиться

Рекомендуемые сообщения

IZERLI87

IZERLI87

Опубликовано
Опубликовано

Словил шифровальщик WESKER на двух компах,были в сети.На одном вообще парализовало работу-не работает практически ни одна программа,файлы зашифрованы,на втором-зашифровало половину файлов.

Прикладываю логи с первого компа.

CollectionLog-2019.05.29-14.11.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Пару небольших зашифрованных файлов вместе с одним из файлов с именем

!!!INSTRUCTION_RNSMW!!!.txt

упакуйте в архив и прикрепите к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM-x32\...\RunOnce: [{6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}] => cmd.exe /C start /D "C:\Users\2BA0~1\AppData\Local\Temp" /B {6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}.cmd
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Startup: C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Смените пароль на RDP, взлом произошел позавчера в 03:41.

IZERLI87

IZERLI87

Опубликовано
  • Автор
Опубликовано

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM-x32\...\RunOnce: [{6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}] => cmd.exe /C start /D "C:\Users\2BA0~1\AppData\Local\Temp" /B {6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}.cmd
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Startup: C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed]
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Смените пароль на RDP, взлом произошел позавчера в 03:41.

 

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Вымогатель относительно новый и пока в стадии изучения.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
IZERLI87

IZERLI87

Опубликовано
  • Автор
Опубликовано

Вымогатель относительно новый и пока в стадии изучения.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

Лицензия Касперского есть.Запрос на расшифровку отправил

SecurityCheck.txt

Sandor

Sandor

Опубликовано
Опубликовано

-------------------------------- [ Arch ] ---------------------------------

WinRAR 4.00 (64-разрядная) v.4.00.0 Внимание! Скачать обновления

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader 9.3 - Russian v.9.3.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

---------------------------- [ UnwantedApps ] -----------------------------

Голосовой помощник Алиса v.4.2.5.1781 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Читайте Рекомендации после удаления вредоносного ПО

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • moldovan
      Вирус шифровальщик UIWIX
      Автор moldovan
      Все файлы (аудио, видео, фото) стали с расширением UIWIX. Появился на рабочем столе файл с названием _DECODE_FILES, а содержимое такое:
       
      >>> ВСЕ ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАБЛОКИРОВАНЫ <<<
        Ваш персональный код: 2156908470   Чтобы расшифровать ваши файлы, вам необходимо приобрести специальное программное обеспечение. Не пытайтесь декодировать или модифицировать файлы, это может быть нарушено. Для восстановления данных следуйте инструкциям!   Вы можете узнать больше на этом сайте: https://4ujngbdqqm6t2c53.onion.to https://4ujngbdqqm6t2c53.onion.cab https://4ujngbdqqm6t2c53.onion.nu   Если ресурс недоступен в течение длительного времени для установки и использования браузера tor. После запуска браузера Tor вам нужно открыть эту ссылку http://4ujngbdqqm6t2c53.onion 
      CollectionLog-2017.05.18-19.47.zip
    • director@ck66.ru
      Вирус helppppppp@meta.ua
      Автор director@ck66.ru
      Добрый день. Сегодня неожиданно обнаружили шифровальщика. Все файлы с расширением - helppppppp@meta.ua
      Нашли файл к текстом "Для расшифровки пишите: helppppppp@meta.ua Укажите ПИН: 65"
       
      В различных формах сделали как написано. вот что у нас есть. Частично есть файлы - первичное и зашифрованное состояние.
      WHATAFUCK.txt
      CollectionLog-2017.05.19-11.01.zip
      п 4-5.rar
    • Nikols
      Меня атаковал шифровальщик
      Автор Nikols
      Сегодня меня атаковал шифровальщик, главная потеря база 1с, у меня не было рез. копий и антивируса нормального. Прилагаю скриншот вымогателей, посоветуйте что это за вирус и можно ли спасти эту базу
    • mupts
      Зашифрованы файлы на ПК
      Автор mupts
      По почте подхватили шифровальщик, касперский определил как Trojan-Ransom.Win32.Gen.duh и перенёс в карантин, но файлы успели пострадать. Расширение у файлов не поменялось, но открыть их невозможно, говорит о повреждении файлов.
       
      Пострадали как файлы ворда и экселя, так и файлы pdf с архивами. Пострадали причем файлы только на жестком диске, на сетевом диске файлы открываются, хотя у пользователя есть доступ на редактирования своей сетевой папки.
       
      В папках где есть зашифрованные файлы, создаётся файл: README_NAN5qITp.html
       
      Прошу помочь, заранее спасибо.
      CollectionLog-2017.05.12-15.01.zip
      README_NAN5qITp.html
    • kravtsov
      Помогите с расшифровкой Trojan.Win32.Deshacop.fow
      Автор kravtsov
      Доброго времени суток!
       
      Словили шифровальщик, Касперский говорит, что: Trojan.Win32.Deshacop.fow
      Есть ли возможность подобрать дешифратор?
       
      В прикрепленном архиве:
      Сам шифровальщик, пароль на архив virus
      Файл с требованиями в нем же и сгенерированный ID, пароль на архив virus
      Зашифрованный файл с оригиналом
      Отчеты FRST
       
      Заранее благодарен!
×
×
  • Создать...