Перейти к содержанию

Coronavirus - Шифровальщик

lom1k
 Share

Рекомендуемые сообщения

lom1k Новичок

lom1k

Опубликовано
Опубликовано

Добрый вечер!

Вчера вечером зашифровались файлы на рабочем компьютере, причем в течении дня все работало отлично, никакие "левые" файлы и программы не запускались, скорее всего где-то сидел все это время, ждал своего времени?!

Пару раз уходил сам на ввод пароля при входе, я не придал значения, думал может что винда дурит... потом оставил компьютер на некоторое время, вернулся а там "коронавирус".

Чуть позже могу приложить фотографии.

 

Пароль на архив с вирусом (virus_corona.zip) - 123

CollectionLog-2020.02.15-17.58.zip

FILES ENCRYPTED.txt

virus_corona.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Один из файлов Info.hta упакуйте в архив и прикрепите к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Вынужден огорчить, это очередная версия Crusis, расшифровки нет.

Будет только очистка следов и мусора. Пароль на RDP смените, скорее всего был сломан.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13919 2020-02-14] () [File not signed]
HKLM\...\Run: [C:\Users\Алексей\AppData\Roaming\Info.hta] => C:\Users\Алексей\AppData\Roaming\Info.hta [13919 2020-02-14] () [File not signed]
HKU\S-1-5-21-2916867580-2572117831-2763354424-1001\...\MountPoints2: {d949e88b-ec23-11e9-8255-b42e996ff2c4} - "D:\SISetup.exe" 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-14] () [File not signed]
Startup: C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-14] () [File not signed]
2020-02-14 15:04 - 2020-02-14 15:04 - 000013919 _____ C:\WINDOWS\system32\Info.hta
2020-02-14 15:04 - 2020-02-14 15:04 - 000013919 _____ C:\Users\Алексей\AppData\Roaming\Info.hta
2020-02-14 15:04 - 2020-02-14 15:04 - 000000170 _____ C:\Users\Алексей\Desktop\FILES ENCRYPTED.txt
2020-02-14 15:04 - 2020-02-14 15:04 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-02-14 15:04 - 2020-02-14 15:04 - 000000170 _____ C:\FILES ENCRYPTED.txt
AlternateDataStreams: C:\Users\Алексей\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Алексей\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
lom1k Новичок

lom1k

Опубликовано
  • Автор
Опубликовано

Спасибо за помощь!

Хорошо что на компьютере ничего не хранится кроме некоторых папок, которые забекаплены, правда неделю назад (как чувстовал :) ), поэтому кое что пропадет, но все лучше чем ничего...

Сейчас значит буду переустанавливать ОС..

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

буду переустанавливать ОС

Это не обязательно, следов вредоноса больше нет.

 

Возьмите на заметку: Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • WL787878
      Шифровальщик
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      Шифровальщик just
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      Шифровальщик
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • kokc1979
      Шифровальщик ooo4ps bitlocker
      От kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
    • Saul
      Шифровальщик. Расширение aiLuw2ie
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
×
×
  • Создать...