Перейти к содержанию

Просим помощи с расшифровкой

Boforta
 Share

Рекомендуемые сообщения

Boforta Новичок

Boforta

Опубликовано
  • Автор
Опубликовано (изменено)

Добрый день.

Наш сервер был атакован.

После атаки практически все файлы зашифрованы.

Был еще обнаружен Win32.Neshta.A

Прилагаем логи сканирования и пару зараженных файлов в архиве

Addition.txt FRST.txt зашифрованные файлы.rar

Изменено пользователем Boforta
Ссылка на комментарий
Поделиться на другие сайты
  • Sandor changed the title to Просим помощи с расшифровкой
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии нет.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2021-01-08] () [File not signed]
HKLM\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => C:\Users\Admin\AppData\Roaming\Info.hta [13919 2021-01-08] () [File not signed]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
IFEO\dismHost.exe: [Debugger] *
IFEO\EOSNOTIFY.EXE: [Debugger] *
IFEO\InstallAgent.exe: [Debugger] *
IFEO\MusNotification.exe: [Debugger] C:\Windows\system32\systray.exe
IFEO\MUSNOTIFICATIONUX.EXE: [Debugger] *
IFEO\MusNotifyIcon.exe: [Debugger] C:\Windows\system32\systray.exe
IFEO\remsh.exe: [Debugger] *
IFEO\SIHClient.exe: [Debugger] *
IFEO\UpdateAssistant.exe: [Debugger] *
IFEO\UPFC.EXE: [Debugger] *
IFEO\UsoClient.exe: [Debugger] *
IFEO\WaaSMedic.exe: [Debugger] *
IFEO\WaasMedicAgent.exe: [Debugger] *
IFEO\Windows10Upgrade.exe: [Debugger] *
IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2b.exe [2021-01-08] () [File not signed]
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-08] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-08] () [File not signed]
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
Task: {CBC66827-BF6A-4EF0-9B43-53E78A906F0F} - System32\Tasks\RDP Wrapper Autoupdate => cmd.exe /C "C:\Program Files\RDP Wrapper\autoupdate.bat" -log <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-4043373954-1667179921-1984268539-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
R3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2020-11-27] (Stas'M Corp.) [File not signed] <==== ATTENTION (no ServiceDLL)
2021-01-08 01:29 - 2021-01-08 01:29 - 000013919 _____ C:\Windows\system32\Info.hta
2021-01-08 01:29 - 2021-01-08 01:29 - 000013919 _____ C:\Users\Admin\AppData\Roaming\Info.hta
2021-01-08 01:29 - 2021-01-08 01:29 - 000000212 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2021-01-08 01:29 - 2021-01-08 01:29 - 000000212 _____ C:\Users\Admin\Desktop\FILES ENCRYPTED.txt
2021-01-08 01:29 - 2021-01-08 01:29 - 000000212 _____ C:\FILES ENCRYPTED.txt
2021-01-08 01:29 - 2020-11-27 16:36 - 000000000 ____D C:\Program Files\RDP Wrapper
2021-01-08 01:29 - 2020-11-27 16:34 - 000000000 ____D C:\RDPWrap-v1.6.2
FirewallRules: [{F34E43E5-D5A0-456E-91EF-6FFE83B2D584}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{8CE8D3C5-D6BF-461D-9FFF-355ACEA06136}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{172E3430-1FD1-46AD-B986-039D0AE91A89}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{54AEE4EC-64E6-4AAD-BDD4-40C738357DAB}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{84DA6479-BF6F-4EC6-B795-C83CCE8B8324}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{20CDD537-903E-47F4-8AD9-ED3755324418}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{AD26A10C-2EF5-4C84-85F7-013306149478}] => (Allow) LPort=3389
Reboot:
End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Vova333
      Зашифровали Файлы в локальной сети (общей папке) на нескольких компьютерах и поменяли данные создания папок
      От Vova333
      Зашифровали Файлы в локальной сети (общей папке) на нескольких компьютерах и поменяли данные создания папок. заметили сегодня утром . данные папок были изменены примерно 21.05.2024 в 1 час 22 минуты (это данные измененных папок). Компьютеры подключены общей локальной сетью, работы происходят на них в общей рабочей папке и данная Папка была полностью зашифрована (включая все продукты оффис ). шифр на всех документах один
       id-9439B95D.[anticrypto@tutanota.com]
      Что делать? как быть?
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • duduka
      Произошла шифровка файлов cock.li
      От duduka
      вечером, как оказывается взломали рдп (подобрали пароль) в 20:40
      утром естественно появились текстовые документы с текстом:
       

      и  файлы стали в таком виде.
      файл_нейм.id-B297FBFD.[cheese47@cock.li].ROGER
       
      так же был обнаружен файл payload.exe
       
      есть возможность расшифровать?

      report1.log report2.log
    • Bruce007
      Прошу помочь с расшифровкой файлов *.SYSDF
      От Bruce007
      Зараженные файлы.rar Здравствуйте! Подцепили вирус шифровальщик, я не очень разобрался как тему оформлять, пожалуйста, подскажите как систему проанализировать с помощью farbar, могу подсьединить жесткие диски к компьютеру с работоспособной системой (два жестких диска заражены)
      Прикладываю архив с тремя файлами - один - записка о том, как связаться и две зашифрованных скриншота
    • cisbbs
      Файлы с указанием в расширении Roger
      От cisbbs
      Прошу помощи в расшифровке файлов.
      Есть оригинальные файлы и файлы зашифрованные вирусом. В описании вируса присутсвует почта cheese47@cook.li и chesee47@tutanota.com
    • Владимир Жондарев
      Шифровальщик [decryptioner@airmail.cc].harma
      От Владимир Жондарев
      Каким-то образом проник шифровальщик. Помогите расшифровать переименованный файлы.
      <имя_файла>.<оригинальное_расширение>.id-BC84594A.[decryptioner@airmail.cc].harma
      FILES ENCRYPTED.txt
      Пример зашифрованного файла.rar
×
×
  • Создать...