Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Помощь в расшифровке

W32neshuta
 Поделиться

Рекомендуемые сообщения

W32neshuta

W32neshuta

Опубликовано
Опубликовано (изменено)

словил шифровальщик bitcoin@email.tg

29.02.2020 файлы были зашифрованы.

на комп заходили по RDP и Anydesk.

 

pack.zip

CollectionLog-2020.03.02-11.14.zip

Изменено пользователем W32neshuta
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

 

Лишнего администратора отключите или удалите:

user (S-1-5-21-599357780-2875187717-3479361454-1001 - Administrator - Enabled) => C:\Users\user

Администратор (S-1-5-21-599357780-2875187717-3479361454-500 - Administrator - Disabled)

Пароль на RDP смените.

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

DriverPack Cloud

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Файл AdwCleaner[C00].txt тоже покажите.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13913 2020-02-28] () [File not signed]
HKLM\...\Run: [C:\Users\user\AppData\Roaming\Info.hta] => C:\Users\user\AppData\Roaming\Info.hta [13913 2020-02-28] () [File not signed]
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-28] () [File not signed]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-28] () [File not signed]
Task: {998E7E0F-A5AB-4C09-8E50-73B822DEEAE8} - System32\Tasks\DriverPack Cloud => C:\Program Files (x86)\DriverPack Cloud\cloud.exe
2020-02-28 17:01 - 2020-02-28 17:01 - 000013913 _____ C:\WINDOWS\system32\Info.hta
2020-02-28 17:01 - 2020-02-28 17:01 - 000013913 _____ C:\Users\user\AppData\Roaming\Info.hta
2020-02-28 17:01 - 2020-02-28 17:01 - 000000166 _____ C:\Users\user\Desktop\FILES ENCRYPTED.txt
2020-02-28 17:01 - 2020-02-28 17:01 - 000000166 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-02-28 17:01 - 2020-02-28 17:01 - 000000166 _____ C:\FILES ENCRYPTED.txt
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
W32neshuta

W32neshuta

Опубликовано
  • Автор
Опубликовано

Файл AdwCleaner[C00].txt тоже покажите.

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

AdwCleanerC00.txt

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Скрипт достаточно было выполнить один раз.

 

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

W32neshuta

W32neshuta

Опубликовано
  • Автор
Опубликовано


  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

log.txt

Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------

Контроль учётных записей пользователя включен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

K-Lite Mega Codec Pack 12.4.4 v.12.4.4 Внимание! Скачать обновления

TeamViewer 13 v.13.2.36217 Внимание! Скачать обновления

-------------------------------- [ Arch ] ---------------------------------

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 161 (64-bit) v.8.0.1610.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u241-windows-x64.exe)^

Java 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u241-windows-i586.exe)^

Java SE Development Kit 7 Update 79 v.1.7.0.790 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u241-windows-i586.exe).

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 60.3.0 ESR (x64 ru) v.60.3.0 Внимание! Скачать обновления

 

 

Читайте Рекомендации после удаления вредоносного ПО

W32neshuta

W32neshuta

Опубликовано
  • Автор
Опубликовано

я так понимаю ждать что через некоторое время появится расшифровка не стоит?

Sandor

Sandor

Опубликовано
Опубликовано

Маловероятно. Но если планируете ждать, сохраните в том числе папку C:\FRST

 

Ознакомьтесь со статьей. Если есть возможность, напишите заявление.

W32neshuta

W32neshuta

Опубликовано
  • Автор
Опубликовано

Отписался шифровальщикам - просят 3000$ но готовы уступить до 1500$

mike 1

mike 1

Опубликовано
Опубликовано

Отписался шифровальщикам - просят 3000$ но готовы уступить до 1500$

Угу, но только скорее всего попросят оставшиеся 1500$ на втором этапе, который необходим для расшифровки. Так что не обольщайтесь. Я бы им не верил наслово. Пример: https://safezone.cc/threads/shifrovalschik-stopencrypt-qq-com-adobe.32578 . Замечу, что модификация шифровальщика у вас такая же, а те кто его используют показали себя не с лучшей стороны. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Сергей47
      c0v1d19@job4u.com
      Автор Сергей47
      Кто-нибудь сталкивался с этим?
    • bigV
      Нужна помощь в расшифровке *.id-3E7283FC.[everyday@dr.com].myday
      Автор bigV
      Прошу помочь в расшифровке.
      Есть база данный MySQL на 6 Gb, и файловое хранилище, основная цель дешифровать эти файлы.

      Если расшифровка невозможна, прошу указать в ответе.
      Заранее благодарю.
      ----------------------
      Please help me decrypt files. There is a 6 Gb MySQL database, and file storage, the main purpose is to decrypt these files. If decryption is not possible, please indicate in the answer. Thank you in advance.
      encrypted and orig files.7z
      FILES ENCRYPTED.txt
    • Stedxem91
      Помогите спасти точки восстановления!
      Автор Stedxem91
      Здравствуйте! У меня несколько не стандартная ситуация! В организации 4 компьютера заражены вирусом шифровальщиком с почтой james2020m@aol.com, странно что не в хронологическом порядке и не с общими папками! Три из них заражены полностью, то есть камня на камне не осталось от информации, затерто буквально все что можно, но есть один, по которому он прошелся всего ничего - зашифровал три базы 1с из 20 примерно, все документы в порядке, это я смотрю через live cd. Но я также вижу, что у него живые точки восстановления! В папке system volume information, там файлы по 5 гигабайт не зашифрованы! Я так понимаю, что если я заведу компьютер в обычном режиме - то вирус продолжит свою работу! Если же не заведу - то не смогу воспользоваться точкам восстановления! Подскажите, как его остановить, чтобы можно было запустить систему и предыдущие версии баз восстановить!
      DESKPR.0.rar Подпись модуль.2.jpg.id-043779A6.[James2020m@aol.com].rar
    • test17
      PROJECTBLACK@CRIPTEXT.COM - кидалово
      Автор test17
      PROJECTBLACK@CRIPTEXT.COM
       
      Не платите выкуп данному мошеннику!
      Это кидалово.
      Деньги перечислены - декриптора нет уже неделю!
      Потеряны деньги, потеряно время.
       
      Do not pay a ransom to this fraudster!
      This is a scam.
      The money has been transferred - the descriptor has been missing for a week!
    • mixa200z
      Шифровальщик [projectblack@criptext.com].PB
      Автор mixa200z
      28.06.2021 залетел вирус  
      Каталоги 2018.zip FILES ENCRYPTED.txt
×
×
  • Создать...