Перейти к содержанию
Новогодняя встреча Kaspersky Club. Записывайся скорее!

Coronavirus

Grecener
 Поделиться

Рекомендуемые сообщения

Grecener

Grecener

Опубликовано
Опубликовано

Добрый день, случилась такая же беда, что и у Lom1k.

Помогите пожалуйста чем можно.

Сделал все как описано ранее, прикладываю фалы, сделано на зараженной машине. 

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы.

FRST.txt

Addition.txt

info.hta.zip

thyrex

thyrex

Опубликовано
Опубликовано

Увы, с расшифровкой помочь не сможем. Будет только зачистка мусора, в т.ч. и до сих пор активного шифратора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [1corona.exe] => C:\Windows\System32\1corona.exe [94720 2020-02-14] () [File not signed]
C:\Windows\System32\1corona.exe
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2020-02-16] () [File not signed]
HKLM\...\Run: [C:\Users\dostyp\AppData\Roaming\Info.hta] => C:\Users\dostyp\AppData\Roaming\Info.hta [13919 2020-02-14] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-16] () [File not signed]
Startup: C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
Startup: C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-16] () [File not signed]
Startup: C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-14] () [File not signed]
C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
Startup: C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-14] () [File not signed]
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
2020-02-16 17:22 - 2020-02-16 17:22 - 000094720 _____ C:\Users\Dmitriy\AppData\Roaming\1corona.exe
2020-02-16 17:22 - 2020-02-16 17:22 - 000013919 _____ C:\Users\Dmitriy\AppData\Roaming\Info.hta
2020-02-14 19:02 - 2020-02-16 17:22 - 000013919 _____ C:\Windows\system32\Info.hta
2020-02-14 19:02 - 2020-02-14 19:02 - 000013919 _____ C:\Users\dostyp\AppData\Roaming\Info.hta
2020-02-14 19:01 - 2020-02-16 17:22 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-02-14 19:01 - 2020-02-16 17:22 - 000000170 _____ C:\FILES ENCRYPTED.txt
2020-02-14 19:01 - 2020-02-14 19:01 - 000000170 _____ C:\Users\dostyp\Desktop\FILES ENCRYPTED.txt
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\Dmitriy\AppData\Roaming\1corona.exe
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Grecener

Grecener

Опубликовано
  • Автор
Опубликовано (изменено)

Скажите пожалуйста, а бывает что появляется ключ для расшифровки со временем? 

Fixlog.txt

Изменено пользователем Grecener
thyrex

thyrex

Опубликовано
Опубликовано

Ключи от ранних версий этого шифратора появились только после слива их самими злоумышленниками. Но это было уже очень давно.

Grecener

Grecener

Опубликовано
  • Автор
Опубликовано

Добрый день! Спасибо за помощь, зараженный комп ожил и перестал шифровать все что видел, у меня в сети 8 компьютеров, зашифрованные файлы обнаружились на все, в основном в папке c\users\publik, но один комп пострадал глобально, зашифровано почти все! Посмотрите пожалуйста файлы отчета с этого второго компьютера. заранее спасибо большое.

Addition.txt

FRST.txt

info.hta.zip

thyrex

thyrex

Опубликовано
Опубликовано

Тут только мусор зачистим.
 

Амиго
Кнопка "Яндекс" на панели задач
Менеджер браузеров

 

удалите через Установку программ.

1. Выделите следующий код:

Start::
CreateRestorePoint:
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {1E5E63E4-4F9B-482F-B9F7-98C284683994} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eduard777
      возможно ли расшифровать файлы от trojan-ransom.win32.crysis.to?
      Автор eduard777
      Добрый день!
      Подскажите, можно ли расшифровать файлы после trojan-ransom.win32.crysis.to?
      если да, помогите пожалуйста.
      логи прикреплены
      CollectionLog-2020.02.05-21.11.zip
    • mosfod
      HARMA
      Автор mosfod
      Добрый вечер.
      Вирус зашифровал базы 1с и другие файлы. образцы прикрепляю. подскажите что можно сделать.
       
      https://yadi.sk/d/1wXfTa_gfYO7Xg
       
      https://yadi.sk/d/FIgNg_XBDcjCbA
       
      в файле записке написано
       
      all your data has been locked us
      You want to return?
      Write email testfile1@protonmail.com or bitcoins12@tutanota.com

      результат сканирования AutoLogger
      https://yadi.sk/d/IXcarjfPwSxuXw
    • Jordan
      [РЕШЕНО] На Windows 2008 отработал шифровальщик
      Автор Jordan
      Добрый день.
       
      На Windows2008 был подобран пароль и запущен шифровальщик. После шифрования файлы имеют вид [имя файла].id-********.[*******@aol.com].bot
      После обнаружения данной ситуации вирус был найден и удален, но на всякий случай был восстановлен системный раздел из бэкапа.
      Хотелось бы понимать перспективы дешифрации. Спасибо.
      CollectionLog-2019.12.24-19.54.zip
      FRST.zip
    • lex445
      Зашифрованы файлы .harma
      Автор lex445
      Прошу помощи в расшифровке файлов .harma . Сам компьютер почистил . Содержимое файла FILES ENCRYPTED.txt :
      all your data has been locked us
      You want to return?
      Write email maximum@onlinehelp.host
       
      Все фалы переименованы с расширением .id-F07E71A4.[maximum@onlinehelp.host ].harma
       
      Буду очень признателен в помощи.
       
       
      CollectionLog-2019.12.17-19.10.zip
    • DmitrySH
      Зашифрованы файлы на компьютере
      Автор DmitrySH
      Доброго дня!
      Сегодня столкнулись с проблемой, вирус зашифровал почти все документы на ПК.
      Прикладываю архив с образцами. Есть тело вируса, если нужно выложу
      Спасибо!
      CollectionLog-2019.12.16-22.24.zip
      Образец.zip
×
×
  • Создать...