Перейти к содержанию

Рекомендуемые сообщения

Добрый день! Поймали шифровальщик qocktu. Как добавить файлы?

требования.jpg

шифровальщик.zip

Изменено пользователем Morozov84
Добавил архив
Ссылка на сообщение
Поделиться на другие сайты
17 минут назад, Morozov84 сказал:

Добрый день! Поймали шифровальщик qocktu. Как добавить файлы?

требования.jpg

шифровальщик.zip 928 kB · 0 загрузок

 

RESTORE_FILES_INFO.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки этого типа вымогателя нет.

 

 

  • Выделите следующий код:
    Start::
    File: C:\Users\Администратор.TROIKA\Documents\6666.exe
    File: C:\Users\TEMP\Documents\BitsArbitraryFileMoveExploit.exe
    Zip: C:\Windows\SysWOW64\mystartup.lnk
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

На рабочем столе появится архив Date_Time.zip (Дата_Время). Его тоже прикрепите к сообщению.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
19 минут назад, Sandor сказал:

Здравствуйте!

 

Расшифровки этого типа вымогателя нет.

 

 

  • Выделите следующий код:
    
    Start::
    File: C:\Users\Администратор.TROIKA\Documents\6666.exe
    File: C:\Users\TEMP\Documents\BitsArbitraryFileMoveExploit.exe
    Zip: C:\Windows\SysWOW64\mystartup.lnk
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

На рабочем столе появится архив Date_Time.zip (Дата_Время). Его тоже прикрепите к сообщению.

 

Подробнее читайте в этом руководстве.

 

05.02.2021_10.20.12.zip Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-638998395-1887532463-3483069576-500\...\MountPoints2: {7ec63be4-430d-11e8-bb8a-806e6f6e6963} - "F:\setup.exe" 
    GroupPolicy: Restriction ? <==== ATTENTION
    Policies: C:\Users\adm\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\user1\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\Администратор.TROIKA\NTUSER.pol: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    2021-02-04 23:01 - 2021-02-05 02:37 - 000153088 _____ C:\Users\Администратор.TROIKA\Documents\6666.exe
    2021-02-04 23:01 - 2021-02-04 23:01 - 000000634 _____ C:\Windows\SysWOW64\mystartup.lnk
    2021-02-03 22:53 - 2021-02-03 17:54 - 000942592 _____ C:\Users\TEMP\Documents\BitsArbitraryFileMoveExploit.exe
    FirewallRules: [{F60397A2-0DA1-4C8E-9B2C-54B030BD0C5E}] => (Allow) LPort=475
    FirewallRules: [{4C511A31-DF02-4A7B-B3FE-7B875DA351A8}] => (Allow) LPort=475
    FirewallRules: [{921C8FB1-5541-4F2E-9C32-2BDA12B1617A}] => (Allow) LPort=1540
    FirewallRules: [{DB19FBCB-DCAF-4183-881B-DA5B3FBBBDDE}] => (Allow) LPort=1433
    Zip: c:\FRST\Quarantine\
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: newvirus@kaspersky.com

 

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Пользователь user1 с правами администратора ваш?

Пароли на RDP смените.

Ссылка на сообщение
Поделиться на другие сайты

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 05.02.2021 16:08:32
Path starting: C:\Users\Администратор.TROIKA\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: администратор
VersionXML: 8.51is-03.02.2021
___________________________________________________________________________

Windows 10(6.3.14393) (x64) ServerStandard Версия: 1607 Lang: Russian(0419)
Дата установки ОС: 18.04.2018 13:42:55
Статус лицензии: Windows(R), ServerStandard edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: 😄 ФС: [NTFS] Емкость: [278.4 Гб] Занято: [124.3 Гб] Свободно: [154.1 Гб]
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.4046.14393.0
Контроль учётных записей пользователя включен
Загружать автоматически и уведомлять об установке обновлений
Удаленный реестр (RemoteRegistry) - Служба работает
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба работает
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ OtherUtilities ] ----------------------------
LibreOffice 6.3.1.2 v.6.3.1.2 Внимание! Скачать обновления
TeamViewer v.15.3.8497 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00
Total Commander
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI - Russian v.11.0.00 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.88.0.4324.146
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2011.6-0\MsMpEng.exe v.4.18.2011.6
C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2011.6-0\NisSrv.exe v.4.18.2011.6
C:\Program Files\Windows Defender\MSASCui.exe v.4.10.14393.4169
C:\Program Files\Windows Defender\MSASCuiL.exe v.4.10.14393.4169
Служба Защитника Windows (WinDefend) - Служба работает
Служба проверки сети Защитника Windows (WdNisSvc) - Служба работает
----------------------------- [ End of Log ] ------------------------------
 

SecurityCheck.txt

Изменено пользователем Morozov84
Ссылка на сообщение
Поделиться на другие сайты

@Anton Stepanov, здравствуйте!

 

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

Эта тема закрыта.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От Etmeranta
      Здравствуйте!
      На сервере шифровальщик зашифровал всю информацию, которая была в общем доступе. Предполагаю, что заражение произошло через RDP. Большую часть информации восстановили из бэкапа.  Прочитала на форуме, что решения по этому шифровальщику пока нет. Помогите, пожалуйста, очистить следы вымогателя. И еще после шифровальщика рабочие станции  под управлением astra linux перестали подключаться к серверу, на котором вообще нет следов шифровальщика. А win станции работают с этим сервером по RDP в обычном режиме. Не подскажите в чем может быть проблема?
      Addition.txt FRST.txt доки.rar
    • От belokuriha
      Добрый день. Очень сильно нужна помощь . Сегодня с утра включил компьютер , и обнаружил что все файлы были зашифрованы . Висит табличка с указанием сколько нужно денег и какой адрес слать .
       
      Попробовал утилитку RakhniDecryptor , к сожалению она сказала что не знает такие файлы. Подскажите как я могу расшифровать , хотя бы  базы и часть сайта нужно забрать с диска.
    • От babikov
      Позавчера зашифровали большое количество файлов, не смогли бы помочь с расшифровкой? Прикладываю оригинал, зашифрованный файл и readme вируса.
       
      Оригинал.zipЗашифрованный файл.zip!!! Readme !!!.zip
    • От Andrey3254
      На одном из компьютеров, и на всех доступных по сети папках были зашифрованы файлы.
      шифровальщик5.rar
    • От KonstantinXX
      Сегодня 08.02 тоже зашифровались все файлы на компьютере. после расширения файла появилась приписка [vm1iqzi@aol.com].word. Что можно сделать? Тоже были подключения по RDP
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...