Перейти к содержанию

Помощь в расшифровке

W32neshuta
 Share

Рекомендуемые сообщения

W32neshuta Новичок

W32neshuta

Опубликовано
Опубликовано (изменено)

словил шифровальщик bitcoin@email.tg

29.02.2020 файлы были зашифрованы.

на комп заходили по RDP и Anydesk.

 

pack.zip

CollectionLog-2020.03.02-11.14.zip

Изменено пользователем W32neshuta
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

 

Лишнего администратора отключите или удалите:

user (S-1-5-21-599357780-2875187717-3479361454-1001 - Administrator - Enabled) => C:\Users\user

Администратор (S-1-5-21-599357780-2875187717-3479361454-500 - Administrator - Disabled)

Пароль на RDP смените.

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

DriverPack Cloud

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Файл AdwCleaner[C00].txt тоже покажите.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13913 2020-02-28] () [File not signed]
HKLM\...\Run: [C:\Users\user\AppData\Roaming\Info.hta] => C:\Users\user\AppData\Roaming\Info.hta [13913 2020-02-28] () [File not signed]
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-28] () [File not signed]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-28] () [File not signed]
Task: {998E7E0F-A5AB-4C09-8E50-73B822DEEAE8} - System32\Tasks\DriverPack Cloud => C:\Program Files (x86)\DriverPack Cloud\cloud.exe
2020-02-28 17:01 - 2020-02-28 17:01 - 000013913 _____ C:\WINDOWS\system32\Info.hta
2020-02-28 17:01 - 2020-02-28 17:01 - 000013913 _____ C:\Users\user\AppData\Roaming\Info.hta
2020-02-28 17:01 - 2020-02-28 17:01 - 000000166 _____ C:\Users\user\Desktop\FILES ENCRYPTED.txt
2020-02-28 17:01 - 2020-02-28 17:01 - 000000166 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-02-28 17:01 - 2020-02-28 17:01 - 000000166 _____ C:\FILES ENCRYPTED.txt
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
W32neshuta Новичок

W32neshuta

Опубликовано
  • Автор
Опубликовано

Файл AdwCleaner[C00].txt тоже покажите.

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

AdwCleanerC00.txt

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скрипт достаточно было выполнить один раз.

 

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
W32neshuta Новичок

W32neshuta

Опубликовано
  • Автор
Опубликовано


  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------

Контроль учётных записей пользователя включен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

K-Lite Mega Codec Pack 12.4.4 v.12.4.4 Внимание! Скачать обновления

TeamViewer 13 v.13.2.36217 Внимание! Скачать обновления

-------------------------------- [ Arch ] ---------------------------------

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 161 (64-bit) v.8.0.1610.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u241-windows-x64.exe)^

Java 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u241-windows-i586.exe)^

Java SE Development Kit 7 Update 79 v.1.7.0.790 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u241-windows-i586.exe).

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 60.3.0 ESR (x64 ru) v.60.3.0 Внимание! Скачать обновления

 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Маловероятно. Но если планируете ждать, сохраните в том числе папку C:\FRST

 

Ознакомьтесь со статьей. Если есть возможность, напишите заявление.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Отписался шифровальщикам - просят 3000$ но готовы уступить до 1500$

Угу, но только скорее всего попросят оставшиеся 1500$ на втором этапе, который необходим для расшифровки. Так что не обольщайтесь. Я бы им не верил наслово. Пример: https://safezone.cc/threads/shifrovalschik-stopencrypt-qq-com-adobe.32578 . Замечу, что модификация шифровальщика у вас такая же, а те кто его используют показали себя не с лучшей стороны. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • gin
      Помощь в расшифровке файлов
      От gin
      Добрый день! Просьба помочь расшифровать файлы
      логи FRST.zip записка.zip примеры файлов.zip
    • ArAREM
      Помощь в восстановлении и расшифровке файлов Real.Berserk2000@mailum.com
      От ArAREM
      Здравствуйте!
      Около двух месяцев назад на корпоративный сервер организации попал вирус-шифровальщик. Все базы данных 1C и важные файлы были зашифрованы. На данный момент уже проведены все мероприятия для восстановления работоспособности и налаживания безопасности, однако после этого инцидента остался жесткий диск с сервера с зашифрованными на нём файлами. Исходя из всех проведенных проверок - самого вирус-шифровальщика на нём уже нет. Файл FRST не смогу предоставить, так как накопитель уже не используется на сервере и по сути просто лежит у обслуживающей организации ожидая выхода дешифратора.
      В свою очередь изначально в качестве одного из "условий" сделки, которую мы, естественно, не стали проводить после получения необходимого файла, нам удалось убедить злоумышленников расшифровать один из наших файлов для подтверждения возможности расшифровки. Возможно это как-то поможет в подборе дешифратора.
      В архиве будут представлены: текст с требованием, а также два других зашифрованных файла малого размера (архив Files).
      Хотел также прикрепить дополнительно образец расшифрованного файла базы данных Excel ДО и ПОСЛЕ расшифровки, но каждый из них весит по 3 мб, поэтому форма заполнения обращения не позволяет прикрепить их оба. В связи с чем в архиве (Sample) прикреплю уже расшифрованный файл. Если дополнительно понадобится версия файла ДО расшифровки, то предоставлю отдельным сообщением.
      Files KP.zip Sample.zip
    • Leo_Pahomov
      расшифровка файлов
      От Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
    • Leo_Pahomov
      расшифровка файлов
      От Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
    • Hendehog
      Расшифровка Отчета
      От Hendehog
      Добрый день.
      Коллеги можете расшифровать, что это за вирус, какого типа, и как он мог проникнуть в систему?
      У нас через него пытались крупную сумму через банк увести, в этот момент пользователю на экране показывали якобы обновление винды идет...))
      Файл KVRT DATA приложить полный не могу, если надо загружу на яндекс диск.
      Спасибо.
      Reports.rar
×
×
  • Создать...