Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

Наш сервер был атакован.

После атаки практически все файлы зашифрованы.

Был еще обнаружен Win32.Neshta.A

Прилагаем логи сканирования и пару зараженных файлов в архиве

Addition.txt FRST.txt зашифрованные файлы.rar

Изменено пользователем Boforta
Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to Просим помощи с расшифровкой

Здравствуйте!

 

К сожалению, расшифровки этой версии нет.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2021-01-08] () [File not signed]
    HKLM\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => C:\Users\Admin\AppData\Roaming\Info.hta [13919 2021-01-08] () [File not signed]
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    IFEO\dismHost.exe: [Debugger] *
    IFEO\EOSNOTIFY.EXE: [Debugger] *
    IFEO\InstallAgent.exe: [Debugger] *
    IFEO\MusNotification.exe: [Debugger] C:\Windows\system32\systray.exe
    IFEO\MUSNOTIFICATIONUX.EXE: [Debugger] *
    IFEO\MusNotifyIcon.exe: [Debugger] C:\Windows\system32\systray.exe
    IFEO\remsh.exe: [Debugger] *
    IFEO\SIHClient.exe: [Debugger] *
    IFEO\UpdateAssistant.exe: [Debugger] *
    IFEO\UPFC.EXE: [Debugger] *
    IFEO\UsoClient.exe: [Debugger] *
    IFEO\WaaSMedic.exe: [Debugger] *
    IFEO\WaasMedicAgent.exe: [Debugger] *
    IFEO\Windows10Upgrade.exe: [Debugger] *
    IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
    Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2b.exe [2021-01-08] () [File not signed]
    Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-08] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-08] () [File not signed]
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
    Task: {CBC66827-BF6A-4EF0-9B43-53E78A906F0F} - System32\Tasks\RDP Wrapper Autoupdate => cmd.exe /C "C:\Program Files\RDP Wrapper\autoupdate.bat" -log <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    HKU\S-1-5-21-4043373954-1667179921-1984268539-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    R3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2020-11-27] (Stas'M Corp.) [File not signed] <==== ATTENTION (no ServiceDLL)
    2021-01-08 01:29 - 2021-01-08 01:29 - 000013919 _____ C:\Windows\system32\Info.hta
    2021-01-08 01:29 - 2021-01-08 01:29 - 000013919 _____ C:\Users\Admin\AppData\Roaming\Info.hta
    2021-01-08 01:29 - 2021-01-08 01:29 - 000000212 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2021-01-08 01:29 - 2021-01-08 01:29 - 000000212 _____ C:\Users\Admin\Desktop\FILES ENCRYPTED.txt
    2021-01-08 01:29 - 2021-01-08 01:29 - 000000212 _____ C:\FILES ENCRYPTED.txt
    2021-01-08 01:29 - 2020-11-27 16:36 - 000000000 ____D C:\Program Files\RDP Wrapper
    2021-01-08 01:29 - 2020-11-27 16:34 - 000000000 ____D C:\RDPWrap-v1.6.2
    FirewallRules: [{F34E43E5-D5A0-456E-91EF-6FFE83B2D584}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
    FirewallRules: [{8CE8D3C5-D6BF-461D-9FFF-355ACEA06136}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
    FirewallRules: [{172E3430-1FD1-46AD-B986-039D0AE91A89}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
    FirewallRules: [{54AEE4EC-64E6-4AAD-BDD4-40C738357DAB}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
    FirewallRules: [{84DA6479-BF6F-4EC6-B795-C83CCE8B8324}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
    FirewallRules: [{20CDD537-903E-47F4-8AD9-ED3755324418}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
    FirewallRules: [{AD26A10C-2EF5-4C84-85F7-013306149478}] => (Allow) LPort=3389
    Reboot:
    End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От VasiaK
      Здравствуйте.
      Имя и расширение файлов [astra2eneca@aol.com].aol
      Подскажите, пожалуйста, есть дешифратор?
      FILES ENCRYPTED.txt зашифрованные.rar
    • От Дмитрий Вавилово
      Добрый день.
      Есть пострадавший пк, зашифрованы файлы, есть ли возможность их расшифровать???
      https://yadi.sk/i/4zMyL6DSnpPDBw
    • От JonAirs
      День добрый поймали шифровальщик [trizvani@aol.com].harma зашифровал данные на 1 диске касперский стоит и он купленный,
      тест утилитой Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.
      Так же 11-01-2021_15-11-05.zip файл для примера и помощи в дешифровке идентичный в зашифрованном и не зашифрованном виде.
       
      Desktop.rarЛоги утилиты.
       
      Просим помочь в дешифровке.
    • От Avenasis
      Добрый день!

      Прошу помощи в расшифровке файлов.
       
      шифранул все что можно видать по RDP
      самое главное 1с базы SQL
      encrypted.zip Addition.txt FRST.txt
    • От Snt
      Компьютер, который был оставлен на ночь во включенном состоянии около 4 утра подхватил вирус шифровальщик, после чего все файлы на компьютеры были зашифрованы. В папках с файлами были созданы с текстовым документом, в котором было указано, что для рашифровки необхидо отправить письмо по указанному email. Систему не трогал, вирус не удалял.
      FILES.rar FRST.txt Addition.txt
×
×
  • Создать...