Перейти к содержанию

Шифрофальщик Ransom.74e

Виталий Голенко

Автор Виталий Голенко,
в Помощь в борьбе с шифровальщиками-вымогателями

 Share Подписчики 1

Рекомендуемые сообщения

Виталий Голенко

Виталий Голенко 0

Опубликовано
Опубликовано

Здравствуйте. Помогите , поймал вирус Ransom.74e, все файлы зашифрованы. Есть ли возможность их расшифровать? файлы прилагаю. пароль от архива с вирусом: virus

FRST.txt svcabb.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Здравствуйте!

 

Прикрепите дополнительно 2-3 зашифрованных документа в архиве вместе с одним из файлов how_to_decrypt.hta

А также второй лог Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Это

Цитата

C:\Users\zakup\Desktop\эмми\AmmyAdmin_v3.5.exe

ваше?

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
SystemRestore: On
CreateRestorePoint:

HKU\S-1-5-21-2688731446-4175719952-3028488121-1000\...\Run: [B27B1794-CB65CA35hta] => c:\users\zakup\appdata\local\temp\how_to_decrypt.hta <==== ATTENTION
HKU\S-1-5-21-2688731446-4175719952-3028488121-1000\...\MountPoints2: {80c67549-6689-11e4-8fd0-806e6f6e6963} - E:\DVDSetup.exe
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {16FDCA74-CB91-4A1C-AEF7-BE17D274C1E1} - System32\Tasks\{CE90EB6D-5DF3-4F20-A46A-4F6DB70B9660}
Task: {750B82FB-0A46-4646-8FF4-3D18473DED07} - System32\Tasks\updateTask => c:\task.vbs
Task: {78B0E986-4943-42A5-B1F8-499342114CD2} - System32\Tasks\{2EFE290B-6508-42E9-84BF-77F9FDAE80F6}
Task: {AC3E1AFE-B270-4F4E-8BA4-8F1FDF735111} - \RestoreSearch -> No File <==== ATTENTION
2020-10-27 13:39 - 2020-10-27 13:39 - 000005913 _____ C:\Users\Secretary01\AppData\LocalLow\how_to_decrypt.hta
2020-10-27 13:39 - 2020-10-27 13:39 - 000005913 _____ C:\Users\Secretary01\AppData\Local\how_to_decrypt.hta
2020-10-27 13:29 - 2020-10-27 13:29 - 000005913 _____ C:\Users\Secretary01\how_to_decrypt.hta
2020-10-27 13:29 - 2020-10-27 13:29 - 000005913 _____ C:\Users\Secretary01\Downloads\how_to_decrypt.hta
2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\Documents\how_to_decrypt.hta
2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\Desktop\how_to_decrypt.hta
2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\AppData\Roaming\how_to_decrypt.hta
2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\AppData\how_to_decrypt.hta
2020-10-27 03:16 - 2020-10-27 03:16 - 000005913 _____ C:\how_to_decrypt.hta
2020-10-27 03:13 - 2020-10-27 03:13 - 000005913 _____ C:\Users\Новая папка\how_to_decrypt.hta
2020-10-27 03:12 - 2020-10-27 03:12 - 000005913 _____ C:\Users\zakup\how_to_decrypt.hta
2020-10-27 03:12 - 2020-10-27 03:12 - 000005913 _____ C:\Users\zakup\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-10-27 03:11 - 2020-10-27 03:11 - 000005913 _____ C:\Users\zakup\Downloads\how_to_decrypt.hta
2020-10-27 03:10 - 2020-10-27 03:10 - 000005913 _____ C:\Users\zakup\Documents\how_to_decrypt.hta
2020-10-27 03:10 - 2020-10-27 03:10 - 000005913 _____ C:\Users\zakup\Desktop\how_to_decrypt.hta
2020-10-27 03:08 - 2020-10-27 03:08 - 000005913 _____ C:\Users\zakup\AppData\Roaming\how_to_decrypt.hta
2020-10-27 03:08 - 2020-10-27 03:08 - 000005913 _____ C:\Users\zakup\AppData\how_to_decrypt.hta
2020-10-27 02:59 - 2020-10-27 02:59 - 000005913 _____ C:\Users\zakup\AppData\LocalLow\how_to_decrypt.hta
2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\zakup\AppData\Local\how_to_decrypt.hta
2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\zakup\AppData\Local\Apps\how_to_decrypt.hta
2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\Vi_Go\how_to_decrypt.hta
2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\Vi_Go\Downloads\how_to_decrypt.hta
2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\Vi_Go\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-10-27 02:40 - 2020-10-27 02:40 - 000005913 _____ C:\Users\Vi_Go\Documents\how_to_decrypt.hta
2020-10-27 02:40 - 2020-10-27 02:40 - 000005913 _____ C:\Users\Vi_Go\Desktop\how_to_decrypt.hta
2020-10-27 02:37 - 2020-10-27 02:37 - 000005913 _____ C:\Users\Vi_Go\AppData\Roaming\how_to_decrypt.hta
2020-10-27 02:37 - 2020-10-27 02:37 - 000005913 _____ C:\Users\Vi_Go\AppData\how_to_decrypt.hta
2020-10-27 02:35 - 2020-10-27 02:35 - 000005913 _____ C:\Users\Vi_Go\AppData\LocalLow\how_to_decrypt.hta
2020-10-27 02:35 - 2020-10-27 02:35 - 000005913 _____ C:\Users\Vi_Go\AppData\Local\how_to_decrypt.hta
2020-10-27 02:34 - 2020-10-27 02:34 - 000005913 _____ C:\Users\Public\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
2020-10-27 02:32 - 2020-10-27 02:32 - 000005913 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Все пользователи\Desktop\how_to_decrypt.hta
2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\ProgramData\how_to_decrypt.hta
2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\ProgramData\Documents\how_to_decrypt.hta
2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\ProgramData\Desktop\how_to_decrypt.hta
2020-10-27 02:16 - 2020-10-27 02:16 - 000005913 _____ C:\Users\how_to_decrypt.hta
FirewallRules: [{CD657494-7D6F-45CD-8952-CF13B6EB021E}] => (Allow) LPort=9422
FirewallRules: [{C731503C-E760-461C-B25C-90E86053CE28}] => (Allow) LPort=9245
FirewallRules: [{75639381-1C82-4265-9597-A17A810C320C}] => (Allow) LPort=9246
FirewallRules: [{FF3D932A-3CA5-4AE1-A7D9-4CD3887F8856}] => (Allow) LPort=9247
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • ats_1990
      Прошу помощи расшифровать файлы с расширением original_name.4fb442
      От ats_1990
      Здравствуйте, шифровальщик зашифровал файлы в системе Windows Server 2022. Подскажите, есть ли шанс расшифровать такие файлы. В архиве для примера приложил три файла оригинальных, эти же файлы зашифрованные вирусом и txt с требованием денег. 
      files.7z
    • AndrusBelarus
      [РЕШЕНО] Нужна помощь, не могу удалить GLUPTEBA
      От AndrusBelarus
      Доброй ночи! Подхватил какую-то фигню:
       - никак не удаляется, новые процессы в итоге выводят каждый раз в новые папки. Сразу после оповещения от дефендера винды вырубил инет на всякий случай, вот что показал дефендер, сам он удалить не может:
       
      Trojan:Win64/Glupteba!MTB
      Trojan:Win32/Acll
       
      P.S. после перезагрузки теперь на пол экрана идёт спам консольных окон и на каждую ошибка что "файл не обнаружен"
       
      UPD. 
      Вскакивают периодически такие процессы как: 
      QMEmulatorService - процесс есть, удалить файл (.txt) не даёт 
      AppMarket / GameLoop (синий круг на иконке)
      - аппмаркет появился и на панели внизу но при нажатии на нем ПКМ - его всплывающее окно зависает в виде черного прямоугльника
       
      UPD2.
       
      Какой-то процесс *китайские символы*32 бита
    • Borova
      [РЕШЕНО] Trojan RenderCraft и нагрузка озу fc.exe помогите пожалуйста!
      От Borova
      Прошу помощи , на виндовс 7 пк заразился трояном RenderCraft а также неправильно ведет себя утилита fc.exe , оба процесса запускаются после 30 секунд от включения пк и начинают грузить систему ( и ОЗУ и ЦП )  , RenderCraft работает пару десятков секунд ( примерно 40) и исчезает из процессов ,  а fc.exe стабильно грузит систему никуда не уходит. изначально попробовал решить проблему самостоятельно с помощью KVRT и AV BR ,  но ничего не помогло , в итоге начал искать решение в интернете , нашел только один сайт на этом же форуме где было предоставлено решение от господина Sandor . Начал делать все как в случае с Дамир 95 . 
      Но к сожелению ничего не помогло , (  строго додерживался всех инструкций  ) но без положительного результата. Ни один процес не ушел . ПРОШУ ПОМОГИТЕ !
      Все максимально подробно описать не могу ( имеется в виду мое полное исполнение действий и рекомендаций от Sandor  , не все получалось так как в писал Sandor , к примеру так не вышло если в Farbar Recovery Scan Tool я нажал кнопку исправить и в человека вышло все нормально а в меня выдало ошибку " не удается найти файл fixlist.txt " а автоматически у меня ничего не создало . если сам создам текстовый файл напишу то понятно , что там начнет исправлять и исправит пустоту , ведь там в списке ничего нет , а я не знаю что туда вводить , в итоге исправить ничего не вышло . помогите пожалуйста . 
    • FokinZ
      Словил Trojan.Autolt.1224 и Tool.BtcMine.2733 Никак не могу решить проблему
      От FokinZ
      Добрый день,помогите решить проблему,столкнулся с  Trojan.Auto lt.1224 и Tool.BtcMine.2733,прогнал через CureIT!,Hitman и другие,ничего не помогло,вкладки сразу закрывает,настройки компьютера закрывает и браузер тоже.Уже не знаю что и делать,буду признателен за внимание!

    • ZloyM
      Файлы зашифрованы. В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml
      От ZloyM
      Утром при входе обнаружилось, что файлы зашифрованы, имеется письмо с требованием денег.
      В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml - запушены утром пользователями, которые точно не могли это сделать.
      От интернета отключил. Если не отключать, то примерно раз в 10 минут пользователя выкидывает и при этом с флешки удаляются все файлы и на нее помещается копия письма с требованием денег.
      CureIt и KVRT нашли только RDPWrap.
      CollectionLog-2023.10.27-13.29.zip
×
×
  • Создать...