Перейти к содержанию

Поймал шифровальщика ..id.[r3ad4@aol.com].r3f5s

OxoTHuk
 Поделиться

Рекомендуемые сообщения

OxoTHuk

OxoTHuk

Опубликовано
Опубликовано

Добрый день!

 
тело шифровальщика в файле body.zip, расширение изменено на .virus
пароль от архива 12345
также приложены логи скрипта AVZ и FRST64

 

На сервер 2008 r2 поймал шифровальщика [r3ad4@aol.com].r3f5s

 

Утром обнаружил, что сервер не пускает по RDP, жалуется на логин/пароль всех уз. Выключил сервер. 

Позже, попав на сервер (способом с загрузкой с установочной флэшки/восстановление/командная строка/подмена utilman на cmd в system32), обнаружил 5 окон на рабочем столе с информацией о том, что файлы зашифрованы.

Поубирал подзрительные процессы winhost.exe из автозагрузки, перезагрузил систему.

 

файлы зашифрованы,  

в корне дисков файлы с информацией:

 

all your data has been locked us
You want to return?
write email r3ad4@aol.com or r3ad4@cock.li

 

рядом с winhost.exe во всех каталогах его нахождения присутствовал файл Info.hta, в котором:

 
YOUR FILES ARE ENCRYPTED
Don't worry,you can return all your files!</span></div>
If you want to restore them, follow this link: r3ad4@aol.com
YOUR ID 6E3F0584
 
If you have not been answered via the link within 12 hours, write to us by e-mail: r3ad4@cock.li
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

 

 

CollectionLog-2020.06.10-17.59.zip body.zip FRST.txt Addition.txt

mike 1

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
Startup: C:\Users\buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-28] () [File not signed]
Startup: C:\Users\buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe.id-6E3F0584.[r3ad4@aol.com].r3f5s [2020-06-10] () [File not signed]
2020-06-10 14:01 - 2020-06-10 14:01 - 000094970 _____ C:\Users\buh\AppData\Roaming\payload.exe.id-6E3F0584.[r3ad4@aol.com].r3f5s
2020-06-10 14:01 - 2020-06-10 14:01 - 000094720 _____ C:\Users\miard_admin\AppData\Roaming\Winhost.exe.virus

2020-06-10 00:59 - 2020-06-10 14:01 - 000007201 _____ C:\Users\miard_admin\AppData\Roaming\Info.hta.virus

2020-06-10 00:59 - 2020-06-10 00:59 - 000007201 _____ C:\Windows\system32\Info.hta

2020-05-28 12:49 - 2020-05-28 12:49 - 000007225 _____ C:\Users\buh\AppData\Roaming\Info.hta

2020-06-10 00:59 - 2020-06-10 14:01 - 000007201 _____ () C:\Users\miard_admin\AppData\Roaming\Info.hta.virus
2020-06-10 14:01 - 2020-06-10 14:01 - 000094720 _____ () C:\Users\miard_admin\AppData\Roaming\Winhost.exe.virus

MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta => C:\Windows\pss\Info.hta.CommonStartup
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Winhost.exe => C:\Windows\pss\Winhost.exe.CommonStartup
MSCONFIG\startupfolder: C:^Users^miard_admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta => C:\Windows\pss\Info.hta.Startup
MSCONFIG\startupfolder: C:^Users^miard_admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Winhost.exe => C:\Windows\pss\Winhost.exe.Startup
MSCONFIG\startupreg: ? => 
MSCONFIG\startupreg: Winhost.exe => C:\Windows\System32\Winhost.exe
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

MechanikusT

MechanikusT

Опубликовано
Опубликовано (изменено)

Добрый вечер, подскажите пожалуйста. У меня идентичная проблема как товарща OxoTHuk. На данный момент не являюсь пользователем продуктов Лаборатории Касперского, вы сможете мне помочь если я куплю антивирус? 

Изменено пользователем MechanikusT
mike 1

mike 1

Опубликовано
Опубликовано
7 минут назад, MechanikusT сказал:

Добрый вечер, подскажите пожалуйста. У меня идентичная проблема как товарща OxoTHuk. На данный момент не являюсь пользователем продуктов Лаборатории Касперского, вы сможете мне помочь если я куплю антивирус? 

В очистке компьютера от вредоносного ПО поможем. С расшифровкой на форуме не поможем. Если решитесь создать запрос в техподдержку, то сперва прочитайте FAQ. Если требуется лечение, создайте свою тему.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • Владхелп
      Подвисание и замедление ноута
      Автор Владхелп
      Во время работы в школе подключил "грязную флешку", на след день заметил сильный перегрев и замедление ноутбука
      CollectionLog-2026.02.14-22.35.zip
    • Leit
      Вирус майнер, самовосстанавливающийся архив
      Автор Leit
      После сканирование и удаления вирусов с помощью антивируса dr web cureit открывается самовосстанавливающийся архив и после перезагрузки вирусы появляются вновь, я понимаю что это вирус, но не могу понять где и как мне его удалить, помогите пожалуйста. В архиве лог с dr web cureit и логи с FRST, AV block remover даже в безопасном режиме не запускается, пишет отказано в доступе 
×
×
  • Создать...