Перейти к содержанию

Поймал шифровальщика ..id.[r3ad4@aol.com].r3f5s

OxoTHuk
 Поделиться

Рекомендуемые сообщения

OxoTHuk

OxoTHuk

Опубликовано
Опубликовано

Добрый день!

 
тело шифровальщика в файле body.zip, расширение изменено на .virus
пароль от архива 12345
также приложены логи скрипта AVZ и FRST64

 

На сервер 2008 r2 поймал шифровальщика [r3ad4@aol.com].r3f5s

 

Утром обнаружил, что сервер не пускает по RDP, жалуется на логин/пароль всех уз. Выключил сервер. 

Позже, попав на сервер (способом с загрузкой с установочной флэшки/восстановление/командная строка/подмена utilman на cmd в system32), обнаружил 5 окон на рабочем столе с информацией о том, что файлы зашифрованы.

Поубирал подзрительные процессы winhost.exe из автозагрузки, перезагрузил систему.

 

файлы зашифрованы,  

в корне дисков файлы с информацией:

 

all your data has been locked us
You want to return?
write email r3ad4@aol.com or r3ad4@cock.li

 

рядом с winhost.exe во всех каталогах его нахождения присутствовал файл Info.hta, в котором:

 
YOUR FILES ARE ENCRYPTED
Don't worry,you can return all your files!</span></div>
If you want to restore them, follow this link: r3ad4@aol.com
YOUR ID 6E3F0584
 
If you have not been answered via the link within 12 hours, write to us by e-mail: r3ad4@cock.li
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

 

 

CollectionLog-2020.06.10-17.59.zip body.zip FRST.txt Addition.txt

mike 1

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
Startup: C:\Users\buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-28] () [File not signed]
Startup: C:\Users\buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe.id-6E3F0584.[r3ad4@aol.com].r3f5s [2020-06-10] () [File not signed]
2020-06-10 14:01 - 2020-06-10 14:01 - 000094970 _____ C:\Users\buh\AppData\Roaming\payload.exe.id-6E3F0584.[r3ad4@aol.com].r3f5s
2020-06-10 14:01 - 2020-06-10 14:01 - 000094720 _____ C:\Users\miard_admin\AppData\Roaming\Winhost.exe.virus

2020-06-10 00:59 - 2020-06-10 14:01 - 000007201 _____ C:\Users\miard_admin\AppData\Roaming\Info.hta.virus

2020-06-10 00:59 - 2020-06-10 00:59 - 000007201 _____ C:\Windows\system32\Info.hta

2020-05-28 12:49 - 2020-05-28 12:49 - 000007225 _____ C:\Users\buh\AppData\Roaming\Info.hta

2020-06-10 00:59 - 2020-06-10 14:01 - 000007201 _____ () C:\Users\miard_admin\AppData\Roaming\Info.hta.virus
2020-06-10 14:01 - 2020-06-10 14:01 - 000094720 _____ () C:\Users\miard_admin\AppData\Roaming\Winhost.exe.virus

MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta => C:\Windows\pss\Info.hta.CommonStartup
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Winhost.exe => C:\Windows\pss\Winhost.exe.CommonStartup
MSCONFIG\startupfolder: C:^Users^miard_admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta => C:\Windows\pss\Info.hta.Startup
MSCONFIG\startupfolder: C:^Users^miard_admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Winhost.exe => C:\Windows\pss\Winhost.exe.Startup
MSCONFIG\startupreg: ? => 
MSCONFIG\startupreg: Winhost.exe => C:\Windows\System32\Winhost.exe
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

MechanikusT

MechanikusT

Опубликовано
Опубликовано (изменено)

Добрый вечер, подскажите пожалуйста. У меня идентичная проблема как товарща OxoTHuk. На данный момент не являюсь пользователем продуктов Лаборатории Касперского, вы сможете мне помочь если я куплю антивирус? 

Изменено пользователем MechanikusT
mike 1

mike 1

Опубликовано
Опубликовано
7 минут назад, MechanikusT сказал:

Добрый вечер, подскажите пожалуйста. У меня идентичная проблема как товарща OxoTHuk. На данный момент не являюсь пользователем продуктов Лаборатории Касперского, вы сможете мне помочь если я куплю антивирус? 

В очистке компьютера от вредоносного ПО поможем. С расшифровкой на форуме не поможем. Если решитесь создать запрос в техподдержку, то сперва прочитайте FAQ. Если требуется лечение, создайте свою тему.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Николай212322122
      Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
    • AndreyGrom89
      Вирус\майнер CAAServise
      Автор AndreyGrom89
      Доброго времени суток. Недавно обнаружил повышенную нагрузку на ГП. В диспетчере задач было обнаружено два процесса microsoft network realtime inspection service, один из которых и грузил карту. Поиском в инете нашел инфу о возможном майнере. Выполнил рекомендации из поста, не на данном форуме, рекомендации помогли, но увы не надолго, после некоторого времени проблема появилась вновь. Сегодня наткнулся на этот форум с похожей темой. Проверял комп Defender`ом, он проблему не находил. Обнаружил данный "файл" в исключениях, удалил оттуда. По рекомендации с соседней темы скачал FRST, сделал проверку, результаты прикрепил. Какие дальнейшие действия можно применить??
      Addition.txt FRST.txt
    • Fasolka
      Не получается удалить Trojan.Siggen31.49942
      Автор Fasolka
      Обьект: app.dll             Путь: C:\Users\lucif\AppData\Local\Temp\310HkrIkW1H0uUQZkVZi2Qlb5qF\resources\app.asar.unpacked\dist\electron\assets\app.dll
    • Владхелп
      [РЕШЕНО] Подозрение на вирус, подвисания
      Автор Владхелп
      Здравствуйте,
      Недавно переносил файлы с флешки друга, после этого начал подвисать и греться ноутбук, защитник ничего не видит
      CollectionLog-2025.12.22-22.00.zip
    • shougo04
      [РЕШЕНО] Client Helper вирус, помогите
      Автор shougo04
      Всем привет. Первый раз пишу сюда, отчаялся сильно. Уже качал Malwarebytes который на компе выявил 1 троян, несколько значений реестра от программы DriverIdentifier и что-то ещё, что я забыл. После того как я всё это удалил, вручную почистил реестр от подозрительных, старых, лишних значений, всё равно тыкаю Диспетчер задач - нагрузка ЦП (не видюхи) 40%+ и при открытии диспетчера падает соответственно до 1-3%. Так же использовал программу M1nerSearch, которая так же удалила 4 файла и 1 значение реестра по-моему, лог сохранился, если что прикреплю. 
       
      Я зашёл в Speccy и там обнаружил вкладку "планировщик задач" где увидел очень подозрительные процессы.  В планировщике задач обнаружил Client Helper(который MinerSearch как вирус определял), и Edgeupdate которые как я выяснил могут являться знаками наличия вируса. Вирусы получал крайне редко, и то очень давно, поэтому несильно шарю в них, извините.
      Я сейчас скачаю программу Revo uninstaller и попробую с помощью неё ещё что-нибудь сделать. Так же отмечу что вытаскивал кабель инета, устанавливал CCleaner, чистил комп, чистил реестр с помощью неё, потом обратно инет подключал. Так же исправлял ошибки реестра программой Wise Registry Cleaner.
       
      На всякий случай прикрепил 2 лога от MinerSearch, 1-й в котором указаны кол-во запусков 1 это тот лог, который при первом запуске мне и показал 5 проблем. 
      2 лог это лог уже второй проверки после всех вышеописанных манипуляций с ПК, он не обнаружил проблем, но как видите они остались, так что хз.
       
       
      Скрин подозрительной активности в Планировщике.
       
       
      MinerSearch_12_17_2025_7-15-07_PM.log MinerSearch_12_17_2025_8-23-48_PM.log
×
×
  • Создать...