Перейти к содержанию

[РАСШИФРОВАНО] [coronovirus@protonmail.com].[39464A9E-1F0D9BFE] зашифровал все файлы на сервере.


Рекомендуемые сообщения

Вредоносный файл, если он у Вас еще сохранился, выложите на https://sendspace.com в архиве с паролем virus и пришлите ссылку на скачивание мне в ЛС

 

Добрый день, аналогичная проблема [coronovirus@protonmail.com].[39464A9E-1F0D9BFE] зашифровал все файлы на сервере.

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы.
Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 30
  • Created
  • Последний ответ

Top Posters In This Topic

  • thyrex

    14

  • no0tzz

    14

  • BeatBY

    1

  • Артём Иванов_39473

    1

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Логи сделаны на машине, ставшей источником шифрования? В логах не видно ни одного примера пострадавших файлов.

Да, файлы пострадали только на диске D

post-57983-0-38439900-1586109886_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Значит, только на этом диске находилась ценная информация. 

 

На данный момент ситуация печальная - версия шифратора самая новая, расшифровки нет, и трудно сказать, появится ли вообще.

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

 begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Альберт\AppData\Local\Temp\csrss\lsa64install.exe','');
 QuarantineFile('C:\Users\Альберт\AppData\Local\Temp\csrss\scheduled.exe','');
 QuarantineFile('C:\Users\Альберт\AppData\Roaming\12d6b7873f5f\12d6b7873f5f.exe','');
 QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','');
 SetServiceStart('WinmonProcessMonitor', 4);
 DeleteService('WinmonProcessMonitor');
 SetServiceStart('WinmonFS', 4);
 DeleteService('WinmonFS');
 SetServiceStart('Winmon', 4);
 DeleteService('Winmon');
 QuarantineFile('C:\Windows\system32\drivers\pfnfd_1_10_0_9.sys','');
 SetServiceStart('WinDefender', 4);
 DeleteService('WinDefender');
 QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys','');
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys','');
 TerminateProcessByName('c:\windows\windefender.exe');
 QuarantineFile('c:\windows\windefender.exe','');
 TerminateProcessByName('c:\users\Альберт\appdata\local\temp\svchap.exe');
 QuarantineFile('c:\users\Альберт\appdata\local\temp\svchap.exe','');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 QuarantineFile('c:\windows\rss\csrss.exe','');
 DeleteFile('c:\windows\rss\csrss.exe','32');
 DeleteFile('c:\users\Альберт\appdata\local\temp\svchap.exe','32');
 DeleteFile('c:\windows\windefender.exe','32');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64');
 DeleteFile('C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\how_to_decrypt.hta','64');
 DeleteFile('C:\Users\Альберт\AppData\Roaming\12d6b7873f5f\12d6b7873f5f.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','39464A9E-1F0D9BFE','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','39464A9E-1F0D9BFEhta','x32');
 DeleteFile('C:\Users\48C4~1\AppData\Local\Temp\how_to_decrypt.hta','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','39464A9E-1F0D9BFE','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','39464A9E-1F0D9BFEhta','x64');
 DeleteFile('C:\Users\48C4~1\AppData\Local\Temp\how_to_decrypt.hta','64');
 DeleteSchedulerTask('ScheduledUpdate');
 DeleteFile('C:\Users\Альберт\AppData\Local\Temp\csrss\scheduled.exe','64');
 DeleteSchedulerTask('lsa64');
 DeleteFile('C:\Users\Альберт\AppData\Local\Temp\csrss\lsa64install.exe','64');
 DeleteSchedulerTask('csrss');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end. 

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678
Полученный после загрузки ответ сообщите.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • demjanvae
      От demjanvae
      Зашифрованы все фото и видео файлы на компьютере
      Помогите расшифровать

      Вирус схватили еще в 2020, тогда не было расшифровщика, вроде
      Может, сейчас что-то изменилось
      фото.rar

      просят биткоины darklord2020@firemail.cc
    • PavelBEAT
      От PavelBEAT
      Хакер сбрутфорсил пароль от сервера, и запустил шифровальщик, зашифрована общая папка с файлами. Помогите плиз расшифровать.
      ВОЕННЫЕ ПЕНСИОНЕРЫ 2020.docx[my_balancebit@protonmail.com].[2F20339B-5BF5B3C3] График приема ФОЦа.docx[my_balancebit@protonmail.com].[2F20339B-5BF5B3C3]
    • Slider64rus
      От Slider64rus
      Добрый день! Смотрю появилась  возможность расшифровать некоторые версии файлов
      Подскажите возможно ли эти файлы раскрыть - Просто у меня архив файлов накрыло - и до сих пор не теряю надежды на реанимацию.
      Заранее спасибо! Пример файлов прилагаю.
      Files_sel4.rar
    • Alexsm
      От Alexsm
      Добрый День
      Файлы зашифрованы по типу имя_файла[balancebb@mailfence.com].[FC9CDEB9-37C604B8]
      По описанию похож на Cryakl 1.9.0.0
      Вирус удалил все зараженные файлы но получилось восстановить
      OS не загружается логов предоставить не могу
      Прошу помочь с расшифровкой бэкапов
      Описание во вложенииhow_to_decrypt.zip файл от бэкапа зашифрованный.zip
    • capBlack
      От capBlack
      Тема уже поднималась не однократно, но тем не менее.
      В апреле в сеансе RDP пострадали от злоумышленников.  можно ли нам помочь?
      прикобразцы файлов.rarFRST.rarрепляю логи FRST и образцы файлов

×
×
  • Создать...