Перейти к содержанию

{Help557@gmx.de} шифровальщик

chehov
 Share

Рекомендуемые сообщения

chehov Новичок

chehov

Опубликовано
Опубликовано

Доброго времени суток!
Ночью 04.08.2019 компьютер был зашифрован вирусом, все файлы имеют сейчас расширение *.{Help557@gmx.de}.exe
OS сейчас не загружается, загрузился с внешнего носителя, папки и файлы на месте и зашифрованы.
Просканировал компьютер на предмет удаленных файлов, ничего нет, следовательно он не спеша все зашифровал и перезагрузился.
Заражение произошло на этом компьютере,
Антивируса Касперский не было.

 

Сообщение от модератора SQ
Перенесено из темы {Help557@gmx.de} шифровальщик


 

Образцы зашифрованных файлов.7z

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

Похоже это Scarab.
Создайте запрос на расшифровку.
 
Уточните пожалуйста, удается ли загрузить в безопасный режим?

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
chehov Новичок

chehov

Опубликовано
  • Автор
Опубликовано (изменено)

Пока нашел только один файл (во вложении)

пароль 3512


Выполнено повторное сканирование, ничего нет
Антивирус Kaspersky Endpoint Security версия 11.1.1.126

Изменено пользователем kmscom
удалено вредоносное вложение
Ссылка на комментарий
Поделиться на другие сайты
chehov Новичок

chehov

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

Удалось загрузить в безопасный режим и в обычном режиме

 

 

Похоже это Scarab.

Создайте запрос на расшифровку.

 

Уточните пожалуйста, удается ли загрузить в безопасный режим?

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Уточните пожалуйста, вам что-то ответили по созданной Вами заявке?

 

Можете собрать следующий лог?

 

- Скачайте Farbar Recovery Scan Tool FRST_Icon.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".

    FRST.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
chehov Новичок

chehov

Опубликовано
  • Автор
Опубликовано

Просканировал утилитой Каspersky Virus Removal Tool Версия 15.0.19.0[/size]

Обнаружен файл зараженный (rdpwrap.dll)[/size]

 

Просканировал утилитой Каspersky Virus Removal Tool Версия 15.0.19.0[/size]

Обнаружен файл зараженный (rdpwrap.dll)[/size]

 

 

Уточните пожалуйста, вам что-то ответили по созданной Вами заявке?

Пока не ответили

 

 

Можете собрать следующий лог?

Могу, позже

Просканировал утилитой Каspersky Virus Removal Tool Версия 15.0.19.0[/size]

Обнаружен файл зараженный (rdpwrap.dll)[/size]

 

Просканировал утилитой Каspersky Virus Removal Tool Версия 15.0.19.0[/size]

Обнаружен файл зараженный (rdpwrap.dll)[/size]

 

 

Уточните пожалуйста, вам что-то ответили по созданной Вами заявке?

Пока не ответили

 

 

Можете собрать следующий лог?

Могу, позже

Пароль на архив 3512

post-55131-0-59473200-1565093255_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
chehov Новичок

chehov

Опубликовано
  • Автор
Опубликовано (изменено)

Хорошо, извиняюсь

 

Согласно скринам, это не вирус (not-a-virus:*) пожалуйста не прикладывайте вредоносное ПО к сообщениям.

Addition.txt

FRST.txt

Изменено пользователем SQ
удалил чрезмерное цитирование.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Очень много файлов пошифровал системных из-за этого возникли у вас проблемы с загрузкой ОС.

 

На данный момент могу предложить только зачистку мусора. Вам необходимо пождать ответа от тех. поддержки ЛК касаемо расшифровки.

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
CreateRestorePoint:
HKU\S-1-5-21-2206163494-3117099904-2618562288-1000\...\Run: [nOQEcqLp] => C:\Users\User\!!! RESTORE YOUR FILES !!!.TXT [752 2019-08-04] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-03] () [File not signed]
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
Startup: C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
2019-08-04 02:38 - 2019-08-04 02:38 - 000918946 _____ C:\Users\User\nOQEcqLp.bmp
2019-08-04 02:38 - 2019-08-04 02:38 - 000000752 _____ C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:38 - 2019-08-04 02:38 - 000000752 _____ C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:37 - 2019-08-04 02:37 - 000000752 _____ C:\Users\User2\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:37 - 2019-08-04 02:37 - 000000752 _____ C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:37 - 2019-08-04 02:37 - 000000752 _____ C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:36 - 2019-08-04 02:36 - 000000752 _____ C:\Users\user1\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\User\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default User\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\Все пользователи\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\User2\Downloads\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\User2\Documents\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\User2\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\user1\Downloads\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\user1\Documents\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\user1\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\ProgramData\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:38 - 000000752 _____ C:\Users\User\Desktop\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:38 - 000000752 _____ C:\Users\User\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\User\Downloads\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\User\Documents\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Public\Downloads\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Public\Documents\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Public\Desktop\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Public\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default\Downloads\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default\Documents\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default\Desktop\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default User\Downloads\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default User\Documents\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default User\Desktop\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:27 - 2019-08-04 02:27 - 000000752 _____ C:\Program Files (x86)\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:26 - 2019-08-04 02:26 - 000000752 _____ C:\Program Files\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:26 - 2019-08-04 02:26 - 000000752 _____ C:\!!! RESTORE YOUR FILES !!!.TXT
2019-08-03 23:08 - 2019-08-03 23:08 - 000000752 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
2019-08-03 23:08 - 2019-08-03 23:08 - 000000752 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
2019-08-03 23:08 - 2019-08-03 23:08 - 000000752 _____ C:\Users\User\AppData\Roaming\!!! RESTORE YOUR FILES !!!.TXT
2019-08-03 23:08 - 2019-08-03 23:08 - 000000000 ____D C:\Users\User\AppData\Roaming\Process Hacker 2
2019-08-04 02:26 - 2019-08-04 02:26 - 000000752 _____ () C:\Program Files\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:27 - 2019-08-04 02:27 - 000000752 _____ () C:\Program Files (x86)\!!! RESTORE YOUR FILES !!!.TXT
2019-08-03 23:08 - 2019-08-03 23:08 - 000000752 _____ () C:\Users\User\AppData\Roaming\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ () C:\Users\User\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • WhySpice
      Шифровальщик cyberfear
      От WhySpice
      Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox

      Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ
      Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt
      README.txt
    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • BOBO
      Шифровальщик WantToCry
      От BOBO
      Попросили создать новую тему не знаю почему ту закрыли вот создаю. Меня тоже взломали 25 числа hdd весит на роутере, smb открыт был. Покапалься в файлах были несколько оригинальных файлов и вроде шифрование AES в режиме ECB. Встал вопрос можно ли найти ключ шифрования если например нашел зашифрованный блок пробелов 16 байт. 
    • FineGad
      Шифровальщик WantToCry
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
×
×
  • Создать...