Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Добрый день, поймали шифровальщика,

 

файлы поменяли расширение на  .[andrey.taranov@protonmail.com].Iexei8bo

при этом рядом остались пустые файлы - 0 кб

Зашифровалась только сетевая папка (которая была в общем доступе), на соседнем ПК всё чисто

приложили лог и шифрованные файлы
cureIt прогнали быструю проверку - всё чисто, лог cureIt на всякий случай тоже приложили

 

На ПК был установлен Kaspersky Internet Security - он куда то пропал и не запускается больше.

CollectionLog-2020.01.20-13.10.zip

зашифрованные.zip

cureit.zip

Изменено пользователем Андрей Попов
Опубликовано

Здравствуйте!

 

"Зашифрованные" файлы забиты нулями. Если и есть оригинал, то он у злоумышленника.

 

На ПК был установлен Kaspersky Internet Security - он куда то пропал и не запускается больше

Видны следы 19 и 20 версий. Удалите обе, пройдитесь утилитой, скачайте и установите актуальную версию.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Ammyadmin

C:\Users\Olga\desktop\aa_v3.exe

ставили самостоятельно?
Опубликовано

aa_v3.exe

- да, там какая то старая версия

 

там в этой папке (которая зашифровалась) среди нескольких нужных, в том числе были старые ненужные архивные файлы под 30 Гб, злоумышленник их выкачал? О_о

 

прикрепил отчёты

Addition.zip

FRST.zip

Опубликовано

В моей фразе ключевое слово "если".

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    Toolbar: HKU\S-1-5-21-314633488-202542076-394807114-1001 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
    FF user.js: detected! => C:\Users\Olga\AppData\Roaming\Mozilla\Firefox\Profiles\elvwz9ew.default\user.js [2015-11-11]
    C:\Users\Olga\AppData\Local\Google\Chrome\User Data\Default\Extensions\geidjeefddhgefeplhdlegoldlgiodon
    CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
    AlternateDataStreams: C:\Users\Olga:id [32]
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Опубликовано (изменено)

выполнил код
результат прикрепил

Fixlog.zip

Изменено пользователем Андрей Попов
Опубликовано

На этом завершаем:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Опубликовано

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17498 Внимание! Скачать обновления

Контроль учётных записей пользователя включен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

Учетная запись гостя включена. Пароль не установлен.

------------------------------- [ HotFix ] --------------------------------

HotFix KB4012213 Внимание! Скачать обновления

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Office Стандартный 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

Microsoft Office Standard 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

-------------------------------- [ Arch ] ---------------------------------

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

--------------------------------- [ SPY ] ---------------------------------

AnyDesk v.ad 5.4.0 Внимание! Программа удаленного доступа!

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 211 v.8.0.2110.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u241-windows-i586.exe)^

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 52.3.0 ESR (x64 ru) v.52.3.0 Внимание! Скачать обновления

Google Chrome v.79.0.3945.117 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

---------------------------- [ UnwantedApps ] -----------------------------

QIP Internet Guardian Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Читайте Рекомендации после удаления вредоносного ПО

Опубликовано

спасибо

А по файлам, вы считаете, что расшифровке не подлежат, даже если связаться со злоумышленником?
то что было выкачано 30Gb - не верю... скрытых разделов/папок/файлов не обнаружено.
 

Опубликовано

даже если связаться со злоумышленником?

Весьма сомнительно. Попробуйте, но будьте осторожны и аккуратны.
  • 3 недели спустя...
Опубликовано

в общем всё верно, эта группа злодеев, после того как получила перевод, просто перестали выходить на связь
так что, те кто ещё пострадают - не верьте им, ничего у них нет и ни чего вы не получите

платить им бесполезно

  • Спасибо (+1) 2

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Media-Box
      Автор Media-Box
      Помогите пожалуйста😪 У меня также шифровальщик проник на два компьютера. Практически 11Тб фильмов и сериалов были испорчены. Это потеря потерь
      Файлы.zip
       
      Сообщение от модератора kmscom Сообщение перенесено из темы KOZANOSTRA зашифровано 2 ПК
    • quietstorm
      Автор quietstorm
      Добрый день, зашифровало сервер на synology.
      Что самое странное полностью удалило сервер куда делалось резервное копирование hyper backup, просто при входе предлагает установить заново систему.
      Файлы с запиской в архиве во вложение пароль 123
      шифровальщик.rar
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Зашифровано ant_dec
    • Andrey_ka
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • Mep3aBEz
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
    • tamerlan
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
×
×
  • Создать...