Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте!

 

теперь нужно дешифровать файлы

Для этого типа вымогателя расшифровки нет, к сожалению.

 

Файл

C:\Users\Пользователь\Downloads\Install.vbs

Вам известен?

 

В системе еще есть следы и дыры.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    IFEO\magnify.exe: [Debugger] C:\windows\system32\cmd.exe
    IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
    Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-01] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-01] () [File not signed]
    Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-07-30] () [File not signed]
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    2019-07-30 13:00 - 2019-07-30 13:00 - 000013925 _____ C:\Users\Пользователь\AppData\Roaming\Info.hta
    2019-07-30 13:00 - 2019-07-30 13:00 - 000000174 _____ C:\Users\Пользователь\Desktop\FILES ENCRYPTED.txt
    FirewallRules: [TCP Query User{8E6726F4-ED72-45E2-9F63-8D7A6719755F}C:\aa.exe] => (Allow) C:\aa.exe No File
    FirewallRules: [UDP Query User{1CC469EB-7A9F-4E37-AB00-259B9EB8101B}C:\aa.exe] => (Allow) C:\aa.exe No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Опубликовано

Здравствуйте!

 

теперь нужно дешифровать файлы

Для этого типа вымогателя расшифровки нет, к сожалению.

 

Файл

C:\Users\Пользователь\Downloads\Install.vbs

Вам известен?

 

В системе еще есть следы и дыры.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    IFEO\magnify.exe: [Debugger] C:\windows\system32\cmd.exe
    IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
    Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-01] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-01] () [File not signed]
    Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-07-30] () [File not signed]
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    2019-07-30 13:00 - 2019-07-30 13:00 - 000013925 _____ C:\Users\Пользователь\AppData\Roaming\Info.hta
    2019-07-30 13:00 - 2019-07-30 13:00 - 000000174 _____ C:\Users\Пользователь\Desktop\FILES ENCRYPTED.txt
    FirewallRules: [TCP Query User{8E6726F4-ED72-45E2-9F63-8D7A6719755F}C:\aa.exe] => (Allow) C:\aa.exe No File
    FirewallRules: [UDP Query User{1CC469EB-7A9F-4E37-AB00-259B9EB8101B}C:\aa.exe] => (Allow) C:\aa.exe No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Fixlog.txt

Опубликовано

1. Не цитируйте все предыдущее сообщение, используйте форму быстрого ответа внизу.

 

2. Ответьте на мой вопрос.

 

3. Соберите свежий CollectionLog Автологером.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • st0rk
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...