Перейти к содержанию
Где отпразднуем 16 лет клуба? На острове!
Как попасть в «Лабораторию Касперского» за 1 день? Очень просто.

LIZARD MrDecrypter@yandex.com

ВасилийВасильевич

Автор ВасилийВасильевич,
в Помощь в борьбе с шифровальщиками-вымогателями

 Share Подписчики 2

Рекомендуемые сообщения

ВасилийВасильевич

ВасилийВасильевич 0

Опубликовано
Опубликовано

Здравствуйте.

У нас 29.01.2021 зашифровались вымогателем почти все необходимые для работы файлы на компьютере с Windows 10 x64.

Обнаружили это сегодня 01.02.2021.

В диспетчере задач видны 2 отключенных сеанса пользователя user с правами Администратор, которого у нас не было.

Поменял ему пароль и права сменил на Пользователь.

Прикреплены:

- отчёты программы FRST64.exe,

- архив, содержащий шифрованный и исходный файл в формате PDF,

- архив, содержащий шифрованный и исходный файл в формате ZIP,

- письмо вымогателя в формате TXT,

- скриншот Диспетчера задач в формате PNG.

Помогите, пожалуйста, расшифровать. Очень нужны файлы для срочных отчётов.

ДиспетчерЗадач.png

FRST.txt Addition.txt PDF_EncryptedPDF.ZIP ZIP.ZIP #ReadThis.TXT

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 992

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

 

34 минуты назад, ВасилийВасильевич сказал:

Поменял ему пароль и права сменил на Пользователь.

Вы это сделали до логов или после? Так как пока видны права администратора:

Цитата

H (S-1-5-21-3850514150-3185147947-2880660336-1005 - Administrator - Enabled) => C:\Users\H.HOL
HO (S-1-5-21-3850514150-3185147947-2880660336-1000 - Administrator - Disabled) => C:\Users\U
HOLO (S-1-5-21-3850514150-3185147947-2880660336-1004 - Administrator - Disabled) => C:\Users\H
user (S-1-5-21-3850514150-3185147947-2880660336-1001 - Administrator - Enabled) => C:\Users\TEMP
Администратор (S-1-5-21-3850514150-3185147947-2880660336-500 - Administrator - Enabled) => C:\Users\Администратор


 

Ссылка на сообщение
Поделиться на другие сайты
ВасилийВасильевич

ВасилийВасильевич 0

Опубликовано
  • Автор
Опубликовано

Вначале снял логи, потом посмотрел пользователя и заменил права с паролем, но не сбрасывал его отключенное подключение до сих пор.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • sys374
      Шифровальщик [erenyeager@keemail.me][ID=1E038812]cmd - Ярлык.lnk.HYDRA
      От sys374
      Сталкивался кто-нибудь с расшифровкой файлов hydra?

    • Матулионис
      Словили шифровальщика ([hydrarans@yandex.com][ID=4EDD2082]config.sys.HYDRA)
      От Матулионис
      Добрый день, зашифрованы в основном документы Microsoft Office. Шифровальщик [hydrarans@yandex.com][ID=4EDD2082]*.HYDRA. Если есть возможность помочь, буду благодарен. Отдельно стоящий ПК в сети, подключения только по сети к одному ресурсу, содержащему только текстовые фалы. Был установлен  Касперский Ransomware Protection для бизнеса, успешно удален шифровальщиком). Дополнительно прикрепляю файл с журналом событий. Заранее спасибо.
      Addition.txt arhive.zip Events.zip FRST.txt
    • 70serg
      Шифровальщик [Miracle11@keemail.me][ID=ED401E20]***.HYDRA
      От 70serg
      17.02.2022 словил шифровальщик (по Касперскому как: Virus.Win32.Nesta.b) на компьютер по RDP
      Зашифровал все. Затронул 1 комп в сети. Есть подозрение на зараженный комп одного из клиентов, подключающегося по RDP
      Что делать для очистки системы от следов
      ?Addition.txt FRST.txt CryptedFiles.rar
    • Ольга Б
      Зашифрованы файлы баз 1С
      От Ольга Б
      При запуске программы 1С было сообщение : отсутствует файл базы данных. В каталогах баз данных оказались зашифрованные файлы с датой изменения 09.01.22. 1.22 и т.д
       
       
       
       
    • Nikita44
      Вирусы зашифровали файлы
      От Nikita44
      Добрый день, у меня возникла следующая проблема.
      Вирусы зашифровали файлы на моем сервере, помогите пожалуйста восстановить файлы.
      Вирусную папку с данными прилагаю.
       
       
       
      FinalWire AIDA64 v4.70.3200 RePack (& portable) by KpoJIuK.zip
×
×
  • Создать...