Перейти к содержанию

Поймал шифровальщика ..id.[r3ad4@aol.com].r3f5s

OxoTHuk
 Поделиться

Рекомендуемые сообщения

OxoTHuk

OxoTHuk

Опубликовано
Опубликовано

Добрый день!

 
тело шифровальщика в файле body.zip, расширение изменено на .virus
пароль от архива 12345
также приложены логи скрипта AVZ и FRST64

 

На сервер 2008 r2 поймал шифровальщика [r3ad4@aol.com].r3f5s

 

Утром обнаружил, что сервер не пускает по RDP, жалуется на логин/пароль всех уз. Выключил сервер. 

Позже, попав на сервер (способом с загрузкой с установочной флэшки/восстановление/командная строка/подмена utilman на cmd в system32), обнаружил 5 окон на рабочем столе с информацией о том, что файлы зашифрованы.

Поубирал подзрительные процессы winhost.exe из автозагрузки, перезагрузил систему.

 

файлы зашифрованы,  

в корне дисков файлы с информацией:

 

all your data has been locked us
You want to return?
write email r3ad4@aol.com or r3ad4@cock.li

 

рядом с winhost.exe во всех каталогах его нахождения присутствовал файл Info.hta, в котором:

 
YOUR FILES ARE ENCRYPTED
Don't worry,you can return all your files!</span></div>
If you want to restore them, follow this link: r3ad4@aol.com
YOUR ID 6E3F0584
 
If you have not been answered via the link within 12 hours, write to us by e-mail: r3ad4@cock.li
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

 

 

CollectionLog-2020.06.10-17.59.zip body.zip FRST.txt Addition.txt

mike 1

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
Startup: C:\Users\buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-28] () [File not signed]
Startup: C:\Users\buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe.id-6E3F0584.[r3ad4@aol.com].r3f5s [2020-06-10] () [File not signed]
2020-06-10 14:01 - 2020-06-10 14:01 - 000094970 _____ C:\Users\buh\AppData\Roaming\payload.exe.id-6E3F0584.[r3ad4@aol.com].r3f5s
2020-06-10 14:01 - 2020-06-10 14:01 - 000094720 _____ C:\Users\miard_admin\AppData\Roaming\Winhost.exe.virus

2020-06-10 00:59 - 2020-06-10 14:01 - 000007201 _____ C:\Users\miard_admin\AppData\Roaming\Info.hta.virus

2020-06-10 00:59 - 2020-06-10 00:59 - 000007201 _____ C:\Windows\system32\Info.hta

2020-05-28 12:49 - 2020-05-28 12:49 - 000007225 _____ C:\Users\buh\AppData\Roaming\Info.hta

2020-06-10 00:59 - 2020-06-10 14:01 - 000007201 _____ () C:\Users\miard_admin\AppData\Roaming\Info.hta.virus
2020-06-10 14:01 - 2020-06-10 14:01 - 000094720 _____ () C:\Users\miard_admin\AppData\Roaming\Winhost.exe.virus

MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta => C:\Windows\pss\Info.hta.CommonStartup
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Winhost.exe => C:\Windows\pss\Winhost.exe.CommonStartup
MSCONFIG\startupfolder: C:^Users^miard_admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta => C:\Windows\pss\Info.hta.Startup
MSCONFIG\startupfolder: C:^Users^miard_admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Winhost.exe => C:\Windows\pss\Winhost.exe.Startup
MSCONFIG\startupreg: ? => 
MSCONFIG\startupreg: Winhost.exe => C:\Windows\System32\Winhost.exe
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

MechanikusT

MechanikusT

Опубликовано
Опубликовано (изменено)

Добрый вечер, подскажите пожалуйста. У меня идентичная проблема как товарща OxoTHuk. На данный момент не являюсь пользователем продуктов Лаборатории Касперского, вы сможете мне помочь если я куплю антивирус? 

Изменено пользователем MechanikusT
mike 1

mike 1

Опубликовано
Опубликовано
7 минут назад, MechanikusT сказал:

Добрый вечер, подскажите пожалуйста. У меня идентичная проблема как товарща OxoTHuk. На данный момент не являюсь пользователем продуктов Лаборатории Касперского, вы сможете мне помочь если я куплю антивирус? 

В очистке компьютера от вредоносного ПО поможем. С расшифровкой на форуме не поможем. Если решитесь создать запрос в техподдержку, то сперва прочитайте FAQ. Если требуется лечение, создайте свою тему.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр Багет
      есть подозрение на вирус, но пока не знаю какой именно
      Автор Александр Багет
      Началось все с того, что я решил залезть в "Просмотр событий" а конкретно в PowerShell. Там я обнаружил некоторое количество событий с кодом 4104 и решил проверить в интернете что это событие из себя представляет и стоит ли мне беспокоиться о нем. Какое-то количество информации об этом event id я нашел, и в основном там говорилось о подозрительной активности или вредоносном коде/ПО. Подобное событие генерируется стабильно от 2 до 10 раз за месяц.
      Помимо PowerShell я также зашел в журнал "Безопасность" там тоже одно событие которое меня напрягло, это event id 4688. Я снова залез в гугл проверить что это может быть, и в нескольких статьях указывалось на подозрительную активность либо на хакера который делает дамп памяти при помощи LSASS.
      Я до этого ни разу не сталкивался с вирусами и понятия не имею что делать, но несколько дней назад я попробовал зайти на своем ноутбуке в безопасный режим, никакой полезной информации я не получил из этого, но после выхода из режима и проверки журнала "Безопасность" я увидел приличное количество событий 4688. Через некоторое время после выхода из безопасного режима в журнале "Безопасность" появилось 3 события с неудачной попыткой сетевого входа в систему.
      Windows Defender ничего подозрительного не нашел. Проверка Malwarebytes обнаружила 8 нежелательных файлов, но 7 из них были связанны с торернтом и еще один с впном которым я давно не пользовался, все было помещено в карантин. После проверки я через проводник удалил все файлы связанные с торрентом. Далее я еще какое-то время проверял свой пк на вирусы, пробовал это делать с выключенным интернетом и с включенным, но больше Malwarebytes ничего не находил. Хотя сообщения в PowerShell об event id 4104 продолжали появляться.
      Информация из просмотра событий пока является единственным аргументом в пользу наличия вирусов, ибо изменений в работе пк вообще не было. Единственное что меня беспокоит, время от времени мой ноутбук отключается от домашнего интернета, происходит это либо когда пк переходит в спящий режим, либо само по себе. Отключения бывают по несколько раз за день, но может и вообще не быть, какого-то паттерна я не смог увидеть. И еще в диспетчере задач в автозагрузке есть 4 приложения которые никак не открываются и у них нет иконок, но я думаю это какие-то остатки файлов от удаления нерабочих впн, вряд ли это какое-то вредоносное по.
      У меня есть скриншоты из журналов "Безопасность" и "PowerShell" если нужно то могу прислать некоторые из них.
      Подскажите как мне найти вирус или убедиться что его нет?
      И еще, в порядке оформления запроса о помощи первым пунктом сказано, что нужно установить Kaspersky Virus Removal Tool или Dr.Web CureIt и провести проверку, но у меня уже стоит Malwarebytes. Мне нужно еще один антивирус скачивать или надо удалить Malwarebytes и установить нужный? Или ничего не делать пока?
      Буду безумно рад помощи! 
      CollectionLog-2026.01.31-19.07.zip Malwarebytes Отчет о проверке 2026-01-24 050309.txt
    • DexterVron
      Tool.BtcMine.2828 (просто удалить не выходит)
      Автор DexterVron
      Всем привет. Словил Tool.BtcMine.2828, антивирусом удалять не выходит.
    • Salieri
      Словил ратник без доступа к чему - либо, новый администратор
      Автор Salieri
      Приветствую, словил ратник, антивирусы не работают, сайты , ничего, пишу с другого пк дабы подать на помощь. Ниже логи
      CollectionLog-2026.01.30-14.37.zipShortcut.txtFRST.txtAddition.txt
    • Meiras
      Появился вирус Trojan:PowerShell/Boxter.HBZ!MTB
      Автор Meiras
    • PinkyPhosphor
      Два системных файла dwm.exe, под одним замаскированная вредоносная программа
      Автор PinkyPhosphor
      Здравствуйте. 
      Помогите с решением проблемы.
      В диспетчере задач отображается две системные программы dwm.exe, одна из них грузит ЦП на +-27% и по памяти 2,1 Гб (см. скриншот),  а у второй всё адекватно.
      Ранее видел две темы (решенные) на этом форуме с аналогичной проблемой. 
      Прошу помощи с решением данной проблемы
       

×
×
  • Создать...