Перейти к содержанию

Просим помощи с расшифровкой

Boforta
 Поделиться

Рекомендуемые сообщения

Boforta

Boforta

Опубликовано
  • Автор
Опубликовано (изменено)

Добрый день.

Наш сервер был атакован.

После атаки практически все файлы зашифрованы.

Был еще обнаружен Win32.Neshta.A

Прилагаем логи сканирования и пару зараженных файлов в архиве

Addition.txt FRST.txt зашифрованные файлы.rar

Изменено пользователем Boforta
Ссылка на комментарий
Поделиться на другие сайты
  • Sandor изменил название на Просим помощи с расшифровкой
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии нет.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2021-01-08] () [File not signed]
HKLM\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => C:\Users\Admin\AppData\Roaming\Info.hta [13919 2021-01-08] () [File not signed]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
IFEO\dismHost.exe: [Debugger] *
IFEO\EOSNOTIFY.EXE: [Debugger] *
IFEO\InstallAgent.exe: [Debugger] *
IFEO\MusNotification.exe: [Debugger] C:\Windows\system32\systray.exe
IFEO\MUSNOTIFICATIONUX.EXE: [Debugger] *
IFEO\MusNotifyIcon.exe: [Debugger] C:\Windows\system32\systray.exe
IFEO\remsh.exe: [Debugger] *
IFEO\SIHClient.exe: [Debugger] *
IFEO\UpdateAssistant.exe: [Debugger] *
IFEO\UPFC.EXE: [Debugger] *
IFEO\UsoClient.exe: [Debugger] *
IFEO\WaaSMedic.exe: [Debugger] *
IFEO\WaasMedicAgent.exe: [Debugger] *
IFEO\Windows10Upgrade.exe: [Debugger] *
IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2b.exe [2021-01-08] () [File not signed]
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-08] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-08] () [File not signed]
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
Task: {CBC66827-BF6A-4EF0-9B43-53E78A906F0F} - System32\Tasks\RDP Wrapper Autoupdate => cmd.exe /C "C:\Program Files\RDP Wrapper\autoupdate.bat" -log <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-4043373954-1667179921-1984268539-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
R3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2020-11-27] (Stas'M Corp.) [File not signed] <==== ATTENTION (no ServiceDLL)
2021-01-08 01:29 - 2021-01-08 01:29 - 000013919 _____ C:\Windows\system32\Info.hta
2021-01-08 01:29 - 2021-01-08 01:29 - 000013919 _____ C:\Users\Admin\AppData\Roaming\Info.hta
2021-01-08 01:29 - 2021-01-08 01:29 - 000000212 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2021-01-08 01:29 - 2021-01-08 01:29 - 000000212 _____ C:\Users\Admin\Desktop\FILES ENCRYPTED.txt
2021-01-08 01:29 - 2021-01-08 01:29 - 000000212 _____ C:\FILES ENCRYPTED.txt
2021-01-08 01:29 - 2020-11-27 16:36 - 000000000 ____D C:\Program Files\RDP Wrapper
2021-01-08 01:29 - 2020-11-27 16:34 - 000000000 ____D C:\RDPWrap-v1.6.2
FirewallRules: [{F34E43E5-D5A0-456E-91EF-6FFE83B2D584}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{8CE8D3C5-D6BF-461D-9FFF-355ACEA06136}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{172E3430-1FD1-46AD-B986-039D0AE91A89}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{54AEE4EC-64E6-4AAD-BDD4-40C738357DAB}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{84DA6479-BF6F-4EC6-B795-C83CCE8B8324}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{20CDD537-903E-47F4-8AD9-ED3755324418}] => (Allow) C:\Users\user\Downloads\AnyDesk.exe => No File
FirewallRules: [{AD26A10C-2EF5-4C84-85F7-013306149478}] => (Allow) LPort=3389
Reboot:
End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Владислав Эпштейн
      Помощь в расшифровке файлов
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • VNDR
      Вымогальщик. Нужна помощь с расшифровкой.
      Автор VNDR
      Ребята, здравствуйте. Нужна помощь, бухгалтер скачала файл, после этого весь сервер зашифровался. Как расшифровать? На пк база 1с.
      Файлы прикладываю.
      Просим помощи!
      HowToRestoreFiles.txt Новая папка (4).rar
    • Warrr
      Помощь с расшифровкой Mimic
      Автор Warrr
      Прошу помощи с расшифровкой вируса Mimic. В поддержку уже обращался, сказали, не помогут. Есть много пар зашифрованных/оригинальных файлов. Может можно что-то придумать…
       
      спасибо 
    • Helsing13
      Прошу помощи с расшифровкой Trojan.Encoder.31074
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • Tappa
      Петя расшифровка
      Автор Tappa
      Помогите расшифровать ключ 

×
×
  • Создать...