Перейти к содержанию
Конкурс по разработке Telegram-бота Kaspersky Club

Просим помощи с расшифровкой

Boforta
 Поделиться

Рекомендуемые сообщения

Boforta Новичок

Boforta

Опубликовано
  • Автор
Опубликовано (изменено)

Добрый день.

Наш сервер был атакован.

После атаки практически все файлы зашифрованы.

Был еще обнаружен Win32.Neshta.A

Прилагаем логи сканирования и пару зараженных файлов в архиве

Addition.txt FRST.txt зашифрованные файлы.rar

Изменено пользователем Boforta
Ссылка на комментарий
Поделиться на другие сайты
  • Sandor изменил название на Просим помощи с расшифровкой
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии нет.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2021-01-08] () [File not signed]
HKLM\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => C:\Users\Admin\AppData\Roaming\Info.hta [13919 2021-01-08] () [File not signed]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
IFEO\dismHost.exe: [Debugger] *
IFEO\EOSNOTIFY.EXE: [Debugger] *
IFEO\InstallAgent.exe: [Debugger] *
IFEO\MusNotification.exe: [Debugger] C:\Windows\system32\systray.exe
IFEO\MUSNOTIFICATIONUX.EXE: [Debugger] *
IFEO\MusNotifyIcon.exe: [Debugger] C:\Windows\system32\systray.exe
IFEO\remsh.exe: [Debugger] *
IFEO\SIHClient.exe: [Debugger] *
IFEO\UpdateAssistant.exe: [Debugger] *
IFEO\UPFC.EXE: [Debugger] *
IFEO\UsoClient.exe: [Debugger] *
IFEO\WaaSMedic.exe: [Debugger] *
IFEO\WaasMedicAgent.exe: [Debugger] *
IFEO\Windows10Upgrade.exe: [Debugger] *
IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2b.exe [2021-01-08] () [File not signed]
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-08] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-08] () [File not signed]
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
Task: {CBC66827-BF6A-4EF0-9B43-53E78A906F0F} - System32\Tasks\RDP Wrapper Autoupdate => cmd.exe /C "C:\Program Files\RDP Wrapper\autoupdate.bat" -log <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-4043373954-1667179921-1984268539-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
R3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2020-11-27] (Stas'M Corp.) [File not signed] <==== ATTENTION (no ServiceDLL)
2021-01-08 01:29 - 2021-01-08 01:29 - 000013919 _____ C:\Windows\system32\Info.hta
2021-01-08 01:29 - 2021-01-08 01:29 - 000013919 _____ C:\Users\Admin\AppData\Roaming\Info.hta
2021-01-08 01:29 - 2021-01-08 01:29 - 000000212 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2021-01-08 01:29 - 2021-01-08 01:29 - 000000212 _____ C:\Users\Admin\Desktop\FILES ENCRYPTED.txt
2021-01-08 01:29 - 2021-01-08 01:29 - 000000212 _____ C:\FILES ENCRYPTED.txt
2021-01-08 01:29 - 2020-11-27 16:36 - 000000000 ____D C:\Program Files\RDP Wrapper
2021-01-08 01:29 - 2020-11-27 16:34 - 000000000 ____D C:\RDPWrap-v1.6.2
FirewallRules: [{F34E43E5-D5A0-456E-91EF-6FFE83B2D584}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{8CE8D3C5-D6BF-461D-9FFF-355ACEA06136}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{172E3430-1FD1-46AD-B986-039D0AE91A89}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{54AEE4EC-64E6-4AAD-BDD4-40C738357DAB}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{84DA6479-BF6F-4EC6-B795-C83CCE8B8324}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{20CDD537-903E-47F4-8AD9-ED3755324418}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{AD26A10C-2EF5-4C84-85F7-013306149478}] => (Allow) LPort=3389
Reboot:
End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Равиль.М
      Помощь в расшифровке файлов
      Автор Равиль.М
      Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил
      FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar
    • Daniil Kovalev
      Помощь в расшифровке biobiorans
      Автор Daniil Kovalev
      Добрый день словили шифровальщик biobiorans
      Можете помочь расшифровкой файлов?
      Тело шифровальщика найти не удалось
      Вкладываю примеры с зашифрованными файликами - это логи MS SQL сервера  *.ldf

      Текст вымогателя:
      BioBio Ransmoware ATTENTION! At the moment, your system is not protected. We can fix itand restore files. To get started, send a file to decrypt trial. You can trust us after opening the test file. 2.Do not use free programs to unlock. To restore the system write to both : biobiorans@gmail.com        and      biobiorans@keemail.me Telegram id:@biobiorans Your Decryption ID: ******
      FRST.txt
      Crypted2.7z Crypted1.7z
    • M_X
      Запрос на помощь в расшифровке файлов
      Автор M_X
      Здравствуйте. Зашифровали файлы... 
      Скорее всего проникли через RDP...
      Сам шифровальщик не обнаружал....
      Установленный антивирус - не отработал и был также зашифрован (symantec) .. После установил MalWarebytes.
      FRST.txt Addition.txt Desktop.rar
    • slavel94
      Расшифровка kwx8
      Автор slavel94
      Здравствуйте! Словил шифроватор Mimik, в итоге файлы зашифровались с расширением kwx8. Помогите, пожалуйста
      report_2025.03.23_17.06.42.klr.rar
    • gin
      Помощь в расшифровке файлов
      Автор gin
      Добрый день! Просьба помочь расшифровать файлы
      логи FRST.zip записка.zip примеры файлов.zip
×
×
  • Создать...