Перейти к содержанию

Coronavirus - Шифровальщик

lom1k
 Share

Рекомендуемые сообщения

lom1k Новичок

lom1k

Опубликовано
Опубликовано

Добрый вечер!

Вчера вечером зашифровались файлы на рабочем компьютере, причем в течении дня все работало отлично, никакие "левые" файлы и программы не запускались, скорее всего где-то сидел все это время, ждал своего времени?!

Пару раз уходил сам на ввод пароля при входе, я не придал значения, думал может что винда дурит... потом оставил компьютер на некоторое время, вернулся а там "коронавирус".

Чуть позже могу приложить фотографии.

 

Пароль на архив с вирусом (virus_corona.zip) - 123

CollectionLog-2020.02.15-17.58.zip

FILES ENCRYPTED.txt

virus_corona.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Один из файлов Info.hta упакуйте в архив и прикрепите к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Вынужден огорчить, это очередная версия Crusis, расшифровки нет.

Будет только очистка следов и мусора. Пароль на RDP смените, скорее всего был сломан.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13919 2020-02-14] () [File not signed]
HKLM\...\Run: [C:\Users\Алексей\AppData\Roaming\Info.hta] => C:\Users\Алексей\AppData\Roaming\Info.hta [13919 2020-02-14] () [File not signed]
HKU\S-1-5-21-2916867580-2572117831-2763354424-1001\...\MountPoints2: {d949e88b-ec23-11e9-8255-b42e996ff2c4} - "D:\SISetup.exe" 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-14] () [File not signed]
Startup: C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-14] () [File not signed]
2020-02-14 15:04 - 2020-02-14 15:04 - 000013919 _____ C:\WINDOWS\system32\Info.hta
2020-02-14 15:04 - 2020-02-14 15:04 - 000013919 _____ C:\Users\Алексей\AppData\Roaming\Info.hta
2020-02-14 15:04 - 2020-02-14 15:04 - 000000170 _____ C:\Users\Алексей\Desktop\FILES ENCRYPTED.txt
2020-02-14 15:04 - 2020-02-14 15:04 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-02-14 15:04 - 2020-02-14 15:04 - 000000170 _____ C:\FILES ENCRYPTED.txt
AlternateDataStreams: C:\Users\Алексей\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Алексей\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
lom1k Новичок

lom1k

Опубликовано
  • Автор
Опубликовано

Спасибо за помощь!

Хорошо что на компьютере ничего не хранится кроме некоторых папок, которые забекаплены, правда неделю назад (как чувстовал :) ), поэтому кое что пропадет, но все лучше чем ничего...

Сейчас значит буду переустанавливать ОС..

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

буду переустанавливать ОС

Это не обязательно, следов вредоноса больше нет.

 

Возьмите на заметку: Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Пользователь 1551
      Шифровальщик
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Korwin312
      Шифровальщик ooo4ps.
      От Korwin312
      Добрый день.
      Зашифрованы файлы на диске C. Полностью заблокирован диск D.
      Атака совершена 22.02 около полуночи.
      Файлы прилагаю.
       
      FRST.txt Addition.txt Shortcut.txt FILES_ENCRYPTED.txt logo_TF_2016_222px (1).png.rar
    • Евгений А1
      Шифровальщик АES.
      От Евгений А1
      Добрый день! Поймали шифровальщик. Очень похоже на взлом сервера, зашифрованы не только папки которые были видны через сеть, но и папки внутри сервера. Которые не были расшарены. Во вложении файлы про выкуп. Реадми. И примеры зашифрованных файлов.
      vikupandfile.7zAddition.txtFRST.txt
    • boshs
      вирус шифровальщик UUUUUU.uuu
      От boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)
×
×
  • Создать...