Перейти к содержанию

Зашифровано [graff_de_malfet@protonmail.ch]


Рекомендуемые сообщения

пришел ответ от ВирЛаба:

 

sys.dll -  Not-a-virus:HEUR:RiskTool.Win32.BitMiner
assm.dat - HEUR:Trojan-Downloader.MSIL.Miner.gen
Windows Update Service.exe - not-a-virus:RiskTool.Win32.BitMiner.gen
MicrosoftAgentService.exe - HEUR:Trojan.MSIL.Starter.gen

 

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
     
     
    Start::
    CreateRestorePoint:
    CloseProcesses:
    R2 Microsoft Agent Service; C:\Windows\system32\Microsoft Agent Service\MicrosoftAgentService.exe [11776 2020-04-18] () [File not signed]
    R2 Windows Host Service; C:\Windows\system32\Windows Host Service\WindowsHostService.exe [12800 2020-04-18] () [File not signed]
    FF Plugin HKU\S-1-5-21-89793648-2917968068-3212671060-1001: @skbkontur.ru/diagplugin -> C:\Users\Бухгалтер\AppData\Local\SkbKontur\DiagPlugin\3.0.23.207\npapikd.dll [No File]
    Folder: C:\Users\Бухгалтер\AppData\Local\CrashDumps
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\Downloads\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\Documents\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\Desktop\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\Roaming\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\LocalLow\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\Local\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\Downloads\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\Documents\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\AppData\Roaming\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\AppData\LocalLow\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\AppData\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\Бухгалтер\AppData\Local\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\Downloads\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\Documents\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\Desktop\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\Roaming\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\LocalLow\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\Local\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Public\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\ProgramData\how_to_decrypt.hta
    2020-06-08 01:12 - 2020-06-08 01:12 - 000007355 _____ C:\Users\how_to_decrypt.hta
    () [File not signed] C:\Windows\System32\Windows Host Service\WindowsHostService.exe
    () [File not signed] C:\Windows\System32\Microsoft Agent Service\MicrosoftAgentService.exe
    2020-05-18 22:36 - 2020-06-08 12:30 - 000034816 _____ () C:\Windows\system32\assm.dat
    2020-05-18 22:35 - 2020-05-18 22:35 - 001956046 _____ C:\Windows\system32\sys.dll
    Folder: C:\Windows\system32\Windows Host Service
    Folder: C:\Windows\System32\Microsoft Agent Service
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ () C:\Users\Бухгалтер\AppData\Roaming\how_to_decrypt.hta
    2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ () C:\Users\Бухгалтер\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ () C:\Users\Бухгалтер\AppData\Local\how_to_decrypt.hta
    ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ContextMenuHandlers1_S-1-5-21-89793648-2917968068-3212671060-1001: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ContextMenuHandlers4_S-1-5-21-89793648-2917968068-3212671060-1001: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    ContextMenuHandlers5_S-1-5-21-89793648-2917968068-3212671060-1001: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST/FRST64 (от имени администратора).

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • Обратите внимание, что компьютер будет перезагружен.

 

Ссылка на сообщение
Поделиться на другие сайты

К сожалению расшифровка нашими силами не возможна.

Смените все пароли. Если у Вас есть лицензия на продукты Лаборатории Касперского попробуйте создать запрос.




 

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • wo-wo
      От wo-wo
      Здравствуйте!

      Подскажите пожалуйста, появился ли дешифратор для Crylock 1.9.2.1?
      Прикрепляю зашифрованный файл.
      Заранее благодарю!
      DSC_0003.JPG.zip
    • DimaST
      От DimaST
      Здравствуйте!

      Подскажите пожалуйста, появился ли дешифратор для Crylock 1.9.2.1?
      Спрашивал год назад, может что-то изменилось.
      Прикрепляю зашифрованные файлы и их рабочие копии.

      Заранее благодарю!
      Зашифрованные файлы.7z
    • Новый Дом
      От Новый Дом
      Вчера вечером взломали по RDP методом подбора паролей....
       
      В результате зашифрован 1 компьютер и 1 сетевой диск.
      Файлы логов с компьютера прилагаем. Как их получить с сетевого диска пока не ясно - разберемся позже...
       
      Очень нужна Ваша помощь!
      Файлы прилагаем.
       
      Спасибо!
      Addition.txt FRST.txt virus.rar
    • Vitaly9367
      От Vitaly9367
      Доброго времени суток. 

      После открытия RDP порта, буквально через сутки-полтора подвергся атаке шифровальщика. Шифровальщик забрался на два сервера и убил порядочное кол-во файлов.
      Существует ли расшифровка? Если нет, то можно как то подчистить за ним реестр и мусор удалить его? Буду благодарен. 

      Прикрепляю данные с двух серверов.
      Addition-1.txt Addition-2.txt FRST-1.txt FRST-2.txt virus-1.zip virus-2.zip
    • Asvard
      От Asvard
      Заразился windows server 2008r2, пока неизвестно по какой причине. Зашифровал на себе почти всё и куда смог дотянуться по сети к общему доступу других компьютеров.
      Во вложении так же оригинал одного из зашифрованных файлов.

      files.7z FRST_14-06-2022 13.09.50.txt Addition_14-06-2022 13.09.50.txt
×
×
  • Создать...