Перейти к содержанию

шифровальщик veracrypt@foxmail.com

Николай Тименский

От Николай Тименский
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Николай Тименский Новичок

Николай Тименский

Опубликовано
Опубликовано

Добрый день.


Поймали шифровальщик, который зашифровал файлы на сетевых дисках и некоторые папки на сервере, доступные пользователю. Компьютер источник данного бедствия выявили и прошлись  Kaspersky Virus Removal Tool и CureIt. После этих процедур прошлись 



Farbar Recovery Scan Tool, посмотрите логи , скажите с вирусом покончено ?

FRST.txt

Addition.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

Обратите внимание на то, что мы не можем гарантировать удачный исход касаемо расшифровки.

Необходимо последовательность логов которая указана в  инструкции «Порядок оформления запроса о помощи».

Ссылка на комментарий
Поделиться на другие сайты
Николай Тименский Новичок

Николай Тименский

Опубликовано
  • Автор
Опубликовано
script ver. 2019.02.20
AVZ (с) Лаборатория Касперского, 2018, версия 5.14 от 28.06.2019
DefaultLanguage = 0419
Используется локализация на русском языке.
Сбор логов запустили в 2019.07.03-12:51:54
C:\Users\administrator\Desktop\AutoLogger-test\AutoLogger\
C:\Users\ADMINI~1\AppData\Local\Temp\
AutoLogger запущен с правами локального администратора.
Повышение привилегий успешно.
Это не сервер.
Дата последнего обновления = 2019.06.28
Текущая дата = 2019.07.03
Базы актуальны.
Система x64 битная, сейчас будет запущено выполнение стандартного скрипта №2.

script ver. 2019.02.20
AVZ (с) Лаборатория Касперского, 2018, версия 5.14 от 28.06.2019
Используется локализация на русском языке.
Второй этап сбора логов запустили в 2019.07.03-12:51:54
C:\Users\administrator\Desktop\AutoLogger-test\AutoLogger\
C:\Users\ADMINI~1\AppData\Local\Temp\
Ключи командной строки:  HiddenMode=0
Дата последнего обновления = 2019.06.28
Текущая дата = 2019.07.03
Базы актуальны.
Работа скрипта продолжится через 20 секунд...
Ключ для создания дампов при аварийном завершении программ добавлен.
Параметр для тихого создания дампов при аварийном завершении программ добавлен.
AppXq0fevzme2pys62n3e0fbqa7peapykr8v браузер по умолчанию.
AppXq0fevzme2pys62n3e0fbqa7peapykr8v завершилось вернув код 0
iexplore.exe завершилось вернув код 1
Сейчас будет выполнено сканирование HiJackThis fork (SZ team). Время запуска 2019.07.03-13:16:08
HijackThis завершилось вернув код 0
Сейчас будет выполнено сканирование RSIT. Время запуска 2019.07.03-13:16:20
RSIT завершилось вернув код 0
Сейчас будет выполнено сканирование Check Browsers LNK. Время запуска 2019.07.03-13:16:28
Check Browsers LNK завершилось вернув код 0
Сканирование Check Browsers LNK завершено.
Сейчас логи будут упакованы в архив. Текущее время 2019.07.03-13:16:58
Файл C:\Users\administrator\Desktop\AutoLogger-test\AutoLogger\CollectionLog-2019.07.03-13.16\Check_Browsers_LNK.log, результат архивации = 0
Файл C:\Users\administrator\Desktop\AutoLogger-test\AutoLogger\CollectionLog-2019.07.03-13.16\HiJackThis.log, результат архивации = 0
Файл C:\Users\administrator\Desktop\AutoLogger-test\AutoLogger\CollectionLog-2019.07.03-13.16\info.txt, результат архивации = 0
Файл C:\Users\administrator\Desktop\AutoLogger-test\AutoLogger\CollectionLog-2019.07.03-13.16\log.txt, результат архивации = 0
Файл C:\Users\administrator\Desktop\AutoLogger-test\AutoLogger\CollectionLog-2019.07.03-13.16\virusinfo_syscheck.zip, результат архивации = 0
Ключ для создания дампов при аварийном завершении программ удалён.
Параметр для тихого создания дампов при аварийном завершении программ удалён.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

@Николай Тименский, этот отчет не нужен (тем более его цитата).

Нужен полученный в результате работы Autologger-а архив с именем CollectionLog.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • WhySpice
      Шифровальщик cyberfear
      От WhySpice
      Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox

      Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ
      Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt
      README.txt
    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • BOBO
      Шифровальщик WantToCry
      От BOBO
      Попросили создать новую тему не знаю почему ту закрыли вот создаю. Меня тоже взломали 25 числа hdd весит на роутере, smb открыт был. Покапалься в файлах были несколько оригинальных файлов и вроде шифрование AES в режиме ECB. Встал вопрос можно ли найти ключ шифрования если например нашел зашифрованный блок пробелов 16 байт. 
    • FineGad
      Шифровальщик WantToCry
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
×
×
  • Создать...