Перейти к содержанию

Помогите с decr1pt@protonmail.com

buzb52
 Поделиться

Рекомендуемые сообщения

buzb52

buzb52

Опубликовано
Опубликовано (изменено)

Добрый день.

Бух поймала шифровальщик который пожал часть документов типа .pdf в .zip.

Документы формата doc, xls какие то в зип какие то просто открываются не пойми как.

Базы 1с 8ки он оставил с тем же расширением но они не читабельны. Вроде как бы 1Сник откатил из копии не проверял.

Единственное что он сделал прогнался какими то антивирусниками и удалил всё на что он орал.

Лог будет пойже как комп привезут.

Прикладываю скрин окна README_XXXXX.txt.

Так же прикладываю сам архив с вирусом что бух скачала Акт сверки ФинАудитСервис.8hphfq.zip. Без пароля.

По сайту касперского архив определяется как Trojan.Win32.TorJok.lu

В архиве Выписки_шифр_файл(pass-1) пример зашифрованного файла и ещё файл .sig я так понимаю это от вируса остался.

А так же прикладываю архивы с файлами ZZZ которые вирус любезно за собой удалил.

Файлы ZZ подписаны по месту в каком каталоге были найдены.

 На остальные архивы пароль 1.

Акт сверки ФинАудитСервис.8hphfq.zip Выписки_шифр_файл(pass-1).7z ZZZZZZZZZZZZZZZZZZZ(В документах).7z ZZZZZZZZZZZZZZZZZZZ(В базах).7z

IMG-3940bb3f59d246b210aadfa7a0aab585-V.jpg

Изменено пользователем buzb52
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

30 минут назад, buzb52 сказал:

скрин окна README_XXXXX.txt

Сам файл тоже прикрепите.

buzb52

buzb52

Опубликовано
  • Автор
Опубликовано (изменено)
44 минуты назад, Sandor сказал:

Здравствуйте!

 

Сам файл тоже прикрепите.

Добрый день.

Прикреплю после 18 часов по москве.

Как привезут данный пк.

 

Забыл написать.

Файлы ZZ разные. По весу. И который был в базах он идёт как исполняемый.

Изменено пользователем buzb52
buzb52

buzb52

Опубликовано
  • Автор
Опубликовано

Добрый вечер. 

Прикладываю все файлы о которых говорили ранее.

Посмотрел лог каспера который стоял на этом компе и выпал в осадок.

Он его типа обезвредил но всё равно вредонос продолжил работать и скачал и запустил файл AppdaterUpdate_1584554963.exe

avz_log.txt avz-log-all.7z README_hppcivoph3jc.txt Лог каспера.txt

buzb52

buzb52

Опубликовано
  • Автор
Опубликовано

image.png.0a513049b43e47c70ab3a434283b2778.png

Эта ссылка по которой можно скачать данного зловреда...

mike 1

mike 1

Опубликовано
Опубликовано

Может расскажите нам как так получилось, что установлена 17 версия антивируса, которая я думаю уже снята с поддержки?

 

+ Выполните правила 

 

buzb52

buzb52

Опубликовано
  • Автор
Опубликовано

Данный пк не входит в мои обязанности.

До сегодняшнего дня я даже не знал об его существовании.

на нём стоял ещё аваст который я ушатал. т.к. ос нормально не загружалась.

Причёсывать его буду после восстановления справедливости.

mike 1

mike 1

Опубликовано
Опубликовано

Нам для первичной диагностики необходимы логи FRST. 

Sandor

Sandor

Опубликовано
Опубликовано

Расшифровки этого вымогателя нет.

Систему будем чистить от мусора или планируете переустановку?

buzb52

buzb52

Опубликовано
  • Автор
Опубликовано

Наверное пока чистить.

Как я заметил в папке юзера куда он извлекается на вин10 он создаёт 2 ключа. только не понял до конца это ключи генерации тора или ключи для шифрования файлов на пк.

как я понял он эти ключи отправляет на сервер хозяина. только вопрос если это те ключи, то на сколько они уникальны.

Sandor

Sandor

Опубликовано
Опубликовано

Видны следы бывшей установки Kaspersky Internet Security 17.0.0

Нужно удалить с помощью утилиты в безопасном режиме.

 

Антивирус оставьте один, остальные удалите:

Цитата

Loaris Trojan Remover 3.0.92

Malwarebytes, версия 3.8.3.2965

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:

HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {847388af-e433-11e9-8642-806e6f6e6963} - "E:\start.exe" 
HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {9416fa65-b36b-11e9-85e4-3497f6e0391d} - "E:\start.exe" 
HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {9642f342-cd70-11ea-8825-3497f6e0391d} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {f0eab5bb-b15a-11e9-85da-3497f6e0391d} - "E:\start.exe" 
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {8E0047D9-6193-4D4F-848B-33865834B8FE} - \Optimize Start Menu Cache Files-S-1-5-21-1354578399-3504242563-3297069971-1001 -> No File <==== ATTENTION
Task: {E458E2EC-6A75-4596-B958-52B360F3ED46} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1660520 2020-02-27] (Avast Software s.r.o. -> Avast Software)
CHR NewTab: Default ->  Active:"chrome-extension://pchfckkccldkbclgdepkaonamkignanh/layout/newtab.html"
C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh

C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\adipnhhjfmoehhkepljbifddkobenooa

ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

  • 1 год спустя...
kvet

kvet

Опубликовано
Опубликовано

Всем привет!
Кто знает, удалось ли найти лекарство от этого шифровальщика?

  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kbhdfdz
      помогите убрать NET:MINERS.URL
      Автор kbhdfdz
      dr.web curelt обнаружил майнер, убрать не может. помогите, я вообще не разбираюсь. логи вроде прикрепила 
      cureit.zip
    • Андрей007090
      Помогите поймал шифровальщика плиссс
      Автор Андрей007090
      Помогите пожалуйста поймал шифровальщика 
      С и Д диски оба зашифрованы 
      С - переустановил 
      Д остался там все данные что нужны 
      Помогите  пожалуйста фото прикрепил 
       
      Что надо сделать что бы приложить суда коды ошибок или что именно зип архив ? 

    • HOUSEDause
      Помогите удалить вирус taskhost.exe
      Автор HOUSEDause
      Удалял вирус полностью и через безопасный режим, как только не пытался.
      Самовосстанавливается эта падлюка, хз, что делать, когда удаляю вирус и перезапускаю ПК, вижу, появляются много окон типа для запуска майнера, как я понял, powershell — одно из названий окон.
      Скорее всего подцепил когда устанавливал WORD ругался антивирус винды.
      ПОМОГИТИ
      Не скачиваются антивирусы
    • Antoney
      Помогите, пожалуйста, подчистить за майнером John
      Автор Antoney
      Здравствуйте! Попал в руки ноутбук, в ходе профилактической проверки KVRT обнаружил много интересного, а именно - Trojan.Multi.KillAV.c и кучу Trojan.Win32.Miner.gen. Также присутствует учетная запись John.
       
      Часть попытался подчистить, затем скачал Farbar Recovery Scan Tool как советовали в соседней теме и запустил скан. Отчеты прикладываю. 
       
      Подскажите, пожалуйста, как дальше действовать, чтобы вычистить зловреда из системы?
      Addition.txt FRST.txt
    • Jonnoton
      MEM:Trojan.Win64.Shellcode.gen помогите с удалением
      Автор Jonnoton
      Здравствуйте! Поймал в интернете указанный MEM:Trojan.Win64.Shellcode.gen. Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
       
      CollectionLog-2025.07.31-10.14.zip
×
×
  • Создать...