Перейти к содержанию

{Help557@gmx.de} шифровальщик

chehov
 Share

Рекомендуемые сообщения

chehov Новичок

chehov

Опубликовано
Опубликовано

Доброго времени суток!
Ночью 04.08.2019 компьютер был зашифрован вирусом, все файлы имеют сейчас расширение *.{Help557@gmx.de}.exe
OS сейчас не загружается, загрузился с внешнего носителя, папки и файлы на месте и зашифрованы.
Просканировал компьютер на предмет удаленных файлов, ничего нет, следовательно он не спеша все зашифровал и перезагрузился.
Заражение произошло на этом компьютере,
Антивируса Касперский не было.

 

Сообщение от модератора SQ
Перенесено из темы {Help557@gmx.de} шифровальщик


 

Образцы зашифрованных файлов.7z

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

Похоже это Scarab.
Создайте запрос на расшифровку.
 
Уточните пожалуйста, удается ли загрузить в безопасный режим?

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
chehov Новичок

chehov

Опубликовано
  • Автор
Опубликовано (изменено)

Пока нашел только один файл (во вложении)

пароль 3512


Выполнено повторное сканирование, ничего нет
Антивирус Kaspersky Endpoint Security версия 11.1.1.126

Изменено пользователем kmscom
удалено вредоносное вложение
Ссылка на комментарий
Поделиться на другие сайты
chehov Новичок

chehov

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

Удалось загрузить в безопасный режим и в обычном режиме

 

 

Похоже это Scarab.

Создайте запрос на расшифровку.

 

Уточните пожалуйста, удается ли загрузить в безопасный режим?

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Уточните пожалуйста, вам что-то ответили по созданной Вами заявке?

 

Можете собрать следующий лог?

 

- Скачайте Farbar Recovery Scan Tool FRST_Icon.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".

    FRST.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
chehov Новичок

chehov

Опубликовано
  • Автор
Опубликовано

Просканировал утилитой Каspersky Virus Removal Tool Версия 15.0.19.0[/size]

Обнаружен файл зараженный (rdpwrap.dll)[/size]

 

Просканировал утилитой Каspersky Virus Removal Tool Версия 15.0.19.0[/size]

Обнаружен файл зараженный (rdpwrap.dll)[/size]

 

 

Уточните пожалуйста, вам что-то ответили по созданной Вами заявке?

Пока не ответили

 

 

Можете собрать следующий лог?

Могу, позже

Просканировал утилитой Каspersky Virus Removal Tool Версия 15.0.19.0[/size]

Обнаружен файл зараженный (rdpwrap.dll)[/size]

 

Просканировал утилитой Каspersky Virus Removal Tool Версия 15.0.19.0[/size]

Обнаружен файл зараженный (rdpwrap.dll)[/size]

 

 

Уточните пожалуйста, вам что-то ответили по созданной Вами заявке?

Пока не ответили

 

 

Можете собрать следующий лог?

Могу, позже

Пароль на архив 3512

post-55131-0-59473200-1565093255_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
chehov Новичок

chehov

Опубликовано
  • Автор
Опубликовано (изменено)

Хорошо, извиняюсь

 

Согласно скринам, это не вирус (not-a-virus:*) пожалуйста не прикладывайте вредоносное ПО к сообщениям.

Addition.txt

FRST.txt

Изменено пользователем SQ
удалил чрезмерное цитирование.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Очень много файлов пошифровал системных из-за этого возникли у вас проблемы с загрузкой ОС.

 

На данный момент могу предложить только зачистку мусора. Вам необходимо пождать ответа от тех. поддержки ЛК касаемо расшифровки.

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
CreateRestorePoint:
HKU\S-1-5-21-2206163494-3117099904-2618562288-1000\...\Run: [nOQEcqLp] => C:\Users\User\!!! RESTORE YOUR FILES !!!.TXT [752 2019-08-04] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-03] () [File not signed]
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
Startup: C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
2019-08-04 02:38 - 2019-08-04 02:38 - 000918946 _____ C:\Users\User\nOQEcqLp.bmp
2019-08-04 02:38 - 2019-08-04 02:38 - 000000752 _____ C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:38 - 2019-08-04 02:38 - 000000752 _____ C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:37 - 2019-08-04 02:37 - 000000752 _____ C:\Users\User2\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:37 - 2019-08-04 02:37 - 000000752 _____ C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:37 - 2019-08-04 02:37 - 000000752 _____ C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:36 - 2019-08-04 02:36 - 000000752 _____ C:\Users\user1\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\User\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default User\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\Все пользователи\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\User2\Downloads\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\User2\Documents\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\User2\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\user1\Downloads\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\user1\Documents\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\user1\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\ProgramData\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:38 - 000000752 _____ C:\Users\User\Desktop\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:38 - 000000752 _____ C:\Users\User\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\User\Downloads\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\User\Documents\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Public\Downloads\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Public\Documents\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Public\Desktop\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Public\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default\Downloads\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default\Documents\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default\Desktop\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default User\Downloads\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default User\Documents\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default User\Desktop\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:27 - 2019-08-04 02:27 - 000000752 _____ C:\Program Files (x86)\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:26 - 2019-08-04 02:26 - 000000752 _____ C:\Program Files\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:26 - 2019-08-04 02:26 - 000000752 _____ C:\!!! RESTORE YOUR FILES !!!.TXT
2019-08-03 23:08 - 2019-08-03 23:08 - 000000752 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
2019-08-03 23:08 - 2019-08-03 23:08 - 000000752 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
2019-08-03 23:08 - 2019-08-03 23:08 - 000000752 _____ C:\Users\User\AppData\Roaming\!!! RESTORE YOUR FILES !!!.TXT
2019-08-03 23:08 - 2019-08-03 23:08 - 000000000 ____D C:\Users\User\AppData\Roaming\Process Hacker 2
2019-08-04 02:26 - 2019-08-04 02:26 - 000000752 _____ () C:\Program Files\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:27 - 2019-08-04 02:27 - 000000752 _____ () C:\Program Files (x86)\!!! RESTORE YOUR FILES !!!.TXT
2019-08-03 23:08 - 2019-08-03 23:08 - 000000752 _____ () C:\Users\User\AppData\Roaming\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ () C:\Users\User\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Пользователь 1551
      Шифровальщик
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Korwin312
      Шифровальщик ooo4ps.
      От Korwin312
      Добрый день.
      Зашифрованы файлы на диске C. Полностью заблокирован диск D.
      Атака совершена 22.02 около полуночи.
      Файлы прилагаю.
       
      FRST.txt Addition.txt Shortcut.txt FILES_ENCRYPTED.txt logo_TF_2016_222px (1).png.rar
    • Евгений А1
      Шифровальщик АES.
      От Евгений А1
      Добрый день! Поймали шифровальщик. Очень похоже на взлом сервера, зашифрованы не только папки которые были видны через сеть, но и папки внутри сервера. Которые не были расшарены. Во вложении файлы про выкуп. Реадми. И примеры зашифрованных файлов.
      vikupandfile.7zAddition.txtFRST.txt
    • Bruce007
      Шифровальщик с расширением fear.pw
      От Bruce007
      Здравствуйте!
      Поймали вирус-шифровальщик с расширением fear.pw прикладываю два зашифрованных файла и лог FRST (запускал с live cd) почта platishilidrochish@fear.pw
      Пожалуйста, помогите, чем можете!
      DeCrYpTiOn.txt FRST.txt Примеры файлов.rar
×
×
  • Создать...