Перейти к содержанию

Помощь в расшифровке

W32neshuta
 Поделиться

Рекомендуемые сообщения

W32neshuta

W32neshuta

Опубликовано
Опубликовано (изменено)

словил шифровальщик bitcoin@email.tg

29.02.2020 файлы были зашифрованы.

на комп заходили по RDP и Anydesk.

 

pack.zip

CollectionLog-2020.03.02-11.14.zip

Изменено пользователем W32neshuta
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

 

Лишнего администратора отключите или удалите:

user (S-1-5-21-599357780-2875187717-3479361454-1001 - Administrator - Enabled) => C:\Users\user

Администратор (S-1-5-21-599357780-2875187717-3479361454-500 - Administrator - Disabled)

Пароль на RDP смените.

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

DriverPack Cloud

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Файл AdwCleaner[C00].txt тоже покажите.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13913 2020-02-28] () [File not signed]
HKLM\...\Run: [C:\Users\user\AppData\Roaming\Info.hta] => C:\Users\user\AppData\Roaming\Info.hta [13913 2020-02-28] () [File not signed]
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-28] () [File not signed]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-28] () [File not signed]
Task: {998E7E0F-A5AB-4C09-8E50-73B822DEEAE8} - System32\Tasks\DriverPack Cloud => C:\Program Files (x86)\DriverPack Cloud\cloud.exe
2020-02-28 17:01 - 2020-02-28 17:01 - 000013913 _____ C:\WINDOWS\system32\Info.hta
2020-02-28 17:01 - 2020-02-28 17:01 - 000013913 _____ C:\Users\user\AppData\Roaming\Info.hta
2020-02-28 17:01 - 2020-02-28 17:01 - 000000166 _____ C:\Users\user\Desktop\FILES ENCRYPTED.txt
2020-02-28 17:01 - 2020-02-28 17:01 - 000000166 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-02-28 17:01 - 2020-02-28 17:01 - 000000166 _____ C:\FILES ENCRYPTED.txt
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
W32neshuta

W32neshuta

Опубликовано
  • Автор
Опубликовано

Файл AdwCleaner[C00].txt тоже покажите.

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

AdwCleanerC00.txt

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Скрипт достаточно было выполнить один раз.

 

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

W32neshuta

W32neshuta

Опубликовано
  • Автор
Опубликовано


  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

log.txt

Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------

Контроль учётных записей пользователя включен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

K-Lite Mega Codec Pack 12.4.4 v.12.4.4 Внимание! Скачать обновления

TeamViewer 13 v.13.2.36217 Внимание! Скачать обновления

-------------------------------- [ Arch ] ---------------------------------

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 161 (64-bit) v.8.0.1610.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u241-windows-x64.exe)^

Java 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u241-windows-i586.exe)^

Java SE Development Kit 7 Update 79 v.1.7.0.790 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u241-windows-i586.exe).

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 60.3.0 ESR (x64 ru) v.60.3.0 Внимание! Скачать обновления

 

 

Читайте Рекомендации после удаления вредоносного ПО

W32neshuta

W32neshuta

Опубликовано
  • Автор
Опубликовано

я так понимаю ждать что через некоторое время появится расшифровка не стоит?

Sandor

Sandor

Опубликовано
Опубликовано

Маловероятно. Но если планируете ждать, сохраните в том числе папку C:\FRST

 

Ознакомьтесь со статьей. Если есть возможность, напишите заявление.

W32neshuta

W32neshuta

Опубликовано
  • Автор
Опубликовано

Отписался шифровальщикам - просят 3000$ но готовы уступить до 1500$

mike 1

mike 1

Опубликовано
Опубликовано

Отписался шифровальщикам - просят 3000$ но готовы уступить до 1500$

Угу, но только скорее всего попросят оставшиеся 1500$ на втором этапе, который необходим для расшифровки. Так что не обольщайтесь. Я бы им не верил наслово. Пример: https://safezone.cc/threads/shifrovalschik-stopencrypt-qq-com-adobe.32578 . Замечу, что модификация шифровальщика у вас такая же, а те кто его используют показали себя не с лучшей стороны. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • АлексейСв
      помощь в расшифровке
      Автор АлексейСв
      доброго времени суток. кто-нибудь может помочь с расшифровкой после шифровальщика? 
    • Gera_rostov
      Помощь с расшифровкой
      Автор Gera_rostov
      Наш сервер был зашифрован, все файлы с расширением  ".NESCHELKAIEBALOM"
      Выполнили переустановку системы, есть ли возможность восстановить без оплаты ?
    • Warrr
      Помощь с расшифровкой Mimic
      Автор Warrr
      Прошу помощи с расшифровкой вируса Mimic. В поддержку уже обращался, сказали, не помогут. Есть много пар зашифрованных/оригинальных файлов. Может можно что-то придумать…
       
      спасибо 
    • Владислав Эпштейн
      Помощь в расшифровке файлов
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • Daniil Kovalev
      Помощь в расшифровке biobiorans
      Автор Daniil Kovalev
      Добрый день словили шифровальщик biobiorans
      Можете помочь расшифровкой файлов?
      Тело шифровальщика найти не удалось
      Вкладываю примеры с зашифрованными файликами - это логи MS SQL сервера  *.ldf

      Текст вымогателя:
      BioBio Ransmoware ATTENTION! At the moment, your system is not protected. We can fix itand restore files. To get started, send a file to decrypt trial. You can trust us after opening the test file. 2.Do not use free programs to unlock. To restore the system write to both : biobiorans@gmail.com        and      biobiorans@keemail.me Telegram id:@biobiorans Your Decryption ID: ******
      FRST.txt
      Crypted2.7z Crypted1.7z
×
×
  • Создать...