Перейти к содержанию

Шифрофальщик Ransom.74e

Виталий Голенко

От Виталий Голенко
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Виталий Голенко Новичок

Виталий Голенко

Опубликовано
Опубликовано

Здравствуйте. Помогите , поймал вирус Ransom.74e, все файлы зашифрованы. Есть ли возможность их расшифровать? файлы прилагаю. пароль от архива с вирусом: virus

FRST.txt svcabb.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Прикрепите дополнительно 2-3 зашифрованных документа в архиве вместе с одним из файлов how_to_decrypt.hta

А также второй лог Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна или планируете переустановку?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Это

Цитата

C:\Users\zakup\Desktop\эмми\AmmyAdmin_v3.5.exe

ваше?

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
SystemRestore: On
CreateRestorePoint:

HKU\S-1-5-21-2688731446-4175719952-3028488121-1000\...\Run: [B27B1794-CB65CA35hta] => c:\users\zakup\appdata\local\temp\how_to_decrypt.hta <==== ATTENTION
HKU\S-1-5-21-2688731446-4175719952-3028488121-1000\...\MountPoints2: {80c67549-6689-11e4-8fd0-806e6f6e6963} - E:\DVDSetup.exe
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {16FDCA74-CB91-4A1C-AEF7-BE17D274C1E1} - System32\Tasks\{CE90EB6D-5DF3-4F20-A46A-4F6DB70B9660}
Task: {750B82FB-0A46-4646-8FF4-3D18473DED07} - System32\Tasks\updateTask => c:\task.vbs
Task: {78B0E986-4943-42A5-B1F8-499342114CD2} - System32\Tasks\{2EFE290B-6508-42E9-84BF-77F9FDAE80F6}
Task: {AC3E1AFE-B270-4F4E-8BA4-8F1FDF735111} - \RestoreSearch -> No File <==== ATTENTION
2020-10-27 13:39 - 2020-10-27 13:39 - 000005913 _____ C:\Users\Secretary01\AppData\LocalLow\how_to_decrypt.hta
2020-10-27 13:39 - 2020-10-27 13:39 - 000005913 _____ C:\Users\Secretary01\AppData\Local\how_to_decrypt.hta
2020-10-27 13:29 - 2020-10-27 13:29 - 000005913 _____ C:\Users\Secretary01\how_to_decrypt.hta
2020-10-27 13:29 - 2020-10-27 13:29 - 000005913 _____ C:\Users\Secretary01\Downloads\how_to_decrypt.hta
2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\Documents\how_to_decrypt.hta
2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\Desktop\how_to_decrypt.hta
2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\AppData\Roaming\how_to_decrypt.hta
2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\AppData\how_to_decrypt.hta
2020-10-27 03:16 - 2020-10-27 03:16 - 000005913 _____ C:\how_to_decrypt.hta
2020-10-27 03:13 - 2020-10-27 03:13 - 000005913 _____ C:\Users\Новая папка\how_to_decrypt.hta
2020-10-27 03:12 - 2020-10-27 03:12 - 000005913 _____ C:\Users\zakup\how_to_decrypt.hta
2020-10-27 03:12 - 2020-10-27 03:12 - 000005913 _____ C:\Users\zakup\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-10-27 03:11 - 2020-10-27 03:11 - 000005913 _____ C:\Users\zakup\Downloads\how_to_decrypt.hta
2020-10-27 03:10 - 2020-10-27 03:10 - 000005913 _____ C:\Users\zakup\Documents\how_to_decrypt.hta
2020-10-27 03:10 - 2020-10-27 03:10 - 000005913 _____ C:\Users\zakup\Desktop\how_to_decrypt.hta
2020-10-27 03:08 - 2020-10-27 03:08 - 000005913 _____ C:\Users\zakup\AppData\Roaming\how_to_decrypt.hta
2020-10-27 03:08 - 2020-10-27 03:08 - 000005913 _____ C:\Users\zakup\AppData\how_to_decrypt.hta
2020-10-27 02:59 - 2020-10-27 02:59 - 000005913 _____ C:\Users\zakup\AppData\LocalLow\how_to_decrypt.hta
2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\zakup\AppData\Local\how_to_decrypt.hta
2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\zakup\AppData\Local\Apps\how_to_decrypt.hta
2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\Vi_Go\how_to_decrypt.hta
2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\Vi_Go\Downloads\how_to_decrypt.hta
2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\Vi_Go\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-10-27 02:40 - 2020-10-27 02:40 - 000005913 _____ C:\Users\Vi_Go\Documents\how_to_decrypt.hta
2020-10-27 02:40 - 2020-10-27 02:40 - 000005913 _____ C:\Users\Vi_Go\Desktop\how_to_decrypt.hta
2020-10-27 02:37 - 2020-10-27 02:37 - 000005913 _____ C:\Users\Vi_Go\AppData\Roaming\how_to_decrypt.hta
2020-10-27 02:37 - 2020-10-27 02:37 - 000005913 _____ C:\Users\Vi_Go\AppData\how_to_decrypt.hta
2020-10-27 02:35 - 2020-10-27 02:35 - 000005913 _____ C:\Users\Vi_Go\AppData\LocalLow\how_to_decrypt.hta
2020-10-27 02:35 - 2020-10-27 02:35 - 000005913 _____ C:\Users\Vi_Go\AppData\Local\how_to_decrypt.hta
2020-10-27 02:34 - 2020-10-27 02:34 - 000005913 _____ C:\Users\Public\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
2020-10-27 02:32 - 2020-10-27 02:32 - 000005913 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Все пользователи\Desktop\how_to_decrypt.hta
2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\ProgramData\how_to_decrypt.hta
2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\ProgramData\Documents\how_to_decrypt.hta
2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\ProgramData\Desktop\how_to_decrypt.hta
2020-10-27 02:16 - 2020-10-27 02:16 - 000005913 _____ C:\Users\how_to_decrypt.hta
FirewallRules: [{CD657494-7D6F-45CD-8952-CF13B6EB021E}] => (Allow) LPort=9422
FirewallRules: [{C731503C-E760-461C-B25C-90E86053CE28}] => (Allow) LPort=9245
FirewallRules: [{75639381-1C82-4265-9597-A17A810C320C}] => (Allow) LPort=9246
FirewallRules: [{FF3D932A-3CA5-4AE1-A7D9-4CD3887F8856}] => (Allow) LPort=9247
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Tim0n007
      Шифровальщик Ransom
      От Tim0n007
      Добрый день!
      Поймали Trojan-Ransom.Win32.Generic. Подскажите есть ли для него дешифратор?
    • ООО КИП
      Зашифровали данные на пк и серверах (возможно HEUR:Trojan-Ransom)
      От ООО КИП
      Добрый день.
      Зашифровали данные на пк и серверах (возможно HEUR:Trojan-Ransom)
       
      Сегодня (29.04.2024) были зашифрованы данные на рабочих станциях и серверах компании.
      В 28.04.2024 23:19:47 на сервере ДС была создана Групповая политика с применением ко "Всем", "Прошедшим проверку" и "СИСТЕМА" 
      в настройке ГП:  
      1. отключаются службы теневого копирования и Брандмауэр Windows
      2. в планировщике создаются три назначенные задачи копирования, и исполнения файла
      2.1 ds.exe 
      powershell.exe Copy-Item "\\o*сетевая папка домена*e\netlogon\ds.exe" -Destination "C:\ProgramData" 2.2 запуск 
      cmd.exe /c c:\programdata\ds.exe -pass 12abeef955e1c76cce1c360ddd6de103 2.3 и запуск из сетевой папки 
      cmd.exe Аргументы /c \\o*сетевая папка домена*e\netlogon\ds.exe -pass 12abeef955e1c76cce1c360ddd6de103 2.4 задачи немедленного исполнения по запуску скрипта PS и чистка логов 
      Немедленная задача (Windows 7 и выше) (имя: 1) powershell.exe Аргументы -ex bypass -f \\o*сетевая папка домена*e\netlogon\1.ps1 Немедленная задача (Windows 7 и выше) (имя: log) cmd.exe Аргументы /c for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"  
      после этого на зашифрованных машинах появился файл с содержимым ( весь файл приложу во вложениях)
       
       
      Утилиты Касперского определили как HEUR:Trojan-Ransom 
      ESET Определил как - Filecoder.BlackMatter.K 
       
      Просьба помочь в расшифровке файлов. может получится подобрать дешифратор
       
      Во вложении включил файлы зашифрованные и оригиналы файлов (уцелевшие) отдельным архивом
       
      Так же есть исполняемый файл  ds.exe (пока не прикладывал)
      decode.zip Addition.txt FRST.txt
×
×
  • Создать...