Перейти к содержанию

помощь с шифровальщиком secure[milleni5000@qq.com].id-E6C57C30.[carbanak@aol.com]

Technodancer123
 Share

Рекомендуемые сообщения

Technodancer123 Новичок

Technodancer123

Опубликовано
Опубликовано

Пойман шифровальщик. зашифрованы не все данные на сервере, а лишь часть. На системном диске в профилях пользователя все файлы целы, а вот на втором жестком диске, где находились базы 1с, офисные документы и бекапы баз(сделанные veeam agent) - они зашифрованные. Оканчивается зашифрованные файлы на:
".secure[milleni5000@qq.com].id-E6C57C30.[carbanak@aol.com]", а некоторые на более короткий вариант ".id-E6C57C30.[carbanak@aol.com]"
Тип файла: Файл "PAUQ" (.pauq)
Требования.7z
Прикладываю файлы с требованиями и два зараженных файла два зараженных файла.7zFRST.txt
а так же логи из программы
Просьба оказать помощь, подсказать как поступить, что делать.

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
Technodancer123 Новичок

Technodancer123

Опубликовано
  • Автор
Опубликовано
2 минуты назад, Sandor сказал:

К сожалению, это Crysis, расшифровки нет.

 

Я так понимаю, и в ближайшем будущем ожидать не стоит что появится расшифровщик?
Тогда подскажите, мог ли остаться сам шифровальщик в системе? Какие действия предпринять? Просто удалить все?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM-x32\...\RunOnce: [{D330C022-98E0-4156-A586-2302DE84B773}] => cmd.exe /C start /D "C:\Users\836D~1\AppData\Local\Temp" /B {D330C022-98E0-4156-A586-2302DE84B773}.cmd
HKU\S-1-5-21-1526947268-739351392-930481039-500\...\MountPoints2: {014373a0-523a-11e4-b848-806e6f6e6963} - D:\Run.exe
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\carb.exe [2021-02-19] () [File not signed]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-02-19] () [File not signed]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk.id-E6C57C30.[carbanak@aol.com].pauq [2021-02-19]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\carb.exe [2021-02-19] () [File not signed]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-02-19] () [File not signed]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk.id-E6C57C30.[carbanak@aol.com].pauq [2021-02-19]
C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
S3 45805464B440F16E; \??\c:\users\администратор\appdata\local\temp\13\6DDEF140-AA2B1638-E3E610E6-2DDA34DA\cfa1346df3.sys [X] <==== ATTENTION
2021-02-19 02:43 - 2021-02-19 02:43 - 000013912 _____ C:\Users\Test\AppData\Roaming\Info.hta
2021-02-19 02:43 - 2021-02-19 02:43 - 000013912 _____ C:\Users\Test\AppData\Roaming\Info.hta
2021-02-19 02:23 - 2021-02-19 02:23 - 000136192 _____ C:\Users\Test\AppData\Roaming\carb.exe
2021-02-19 02:23 - 2021-02-19 02:23 - 000136192 _____ C:\Users\Test\AppData\Roaming\carb.exe
2021-02-18 19:06 - 2021-02-19 02:23 - 000000000 ____D C:\Users\Test\AppData\Roaming\Process Hacker 2
2021-02-18 19:06 - 2021-02-19 02:23 - 000000000 ____D C:\Users\Test\AppData\Roaming\Process Hacker 2
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Technodancer123 Новичок

Technodancer123

Опубликовано
  • Автор
Опубликовано
56 минут назад, Sandor сказал:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
HKLM-x32\...\RunOnce: [{D330C022-98E0-4156-A586-2302DE84B773}] => cmd.exe /C start /D "C:\Users\836D~1\AppData\Local\Temp" /B {D330C022-98E0-4156-A586-2302DE84B773}.cmd
HKU\S-1-5-21-1526947268-739351392-930481039-500\...\MountPoints2: {014373a0-523a-11e4-b848-806e6f6e6963} - D:\Run.exe
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\carb.exe [2021-02-19] () [File not signed]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-02-19] () [File not signed]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk.id-E6C57C30.[carbanak@aol.com].pauq [2021-02-19]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\carb.exe [2021-02-19] () [File not signed]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-02-19] () [File not signed]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk.id-E6C57C30.[carbanak@aol.com].pauq [2021-02-19]
C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
S3 45805464B440F16E; \??\c:\users\администратор\appdata\local\temp\13\6DDEF140-AA2B1638-E3E610E6-2DDA34DA\cfa1346df3.sys [X] <==== ATTENTION
2021-02-19 02:43 - 2021-02-19 02:43 - 000013912 _____ C:\Users\Test\AppData\Roaming\Info.hta
2021-02-19 02:43 - 2021-02-19 02:43 - 000013912 _____ C:\Users\Test\AppData\Roaming\Info.hta
2021-02-19 02:23 - 2021-02-19 02:23 - 000136192 _____ C:\Users\Test\AppData\Roaming\carb.exe
2021-02-19 02:23 - 2021-02-19 02:23 - 000136192 _____ C:\Users\Test\AppData\Roaming\carb.exe
2021-02-18 19:06 - 2021-02-19 02:23 - 000000000 ____D C:\Users\Test\AppData\Roaming\Process Hacker 2
2021-02-18 19:06 - 2021-02-19 02:23 - 000000000 ____D C:\Users\Test\AppData\Roaming\Process Hacker 2
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Прикрепляю лог файл

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Дмитрий71
      Шифровальщик AZOT прошу помощи
      От Дмитрий71
      Шифровальщик AZOT зашифровал сервер 1с и просит денег. Подскажите, существуют ли варианты решения или всё в топку?( 
      в каталоге C:\DEC лежит как предполагаю декриптор 8772-decrypter.rar с паролем 
      Addition.txt FRST.txt
    • Serg1619
      Поймал шифровальщик со странным расширением abdula.a@aol.com
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
    • Сергей Комаров
      Поймали шифровальщика, прошу помощи в определении и расшифровке
      От Сергей Комаров
      Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.
      Пример зашифрованных файлов и readme прилагаю.
       
      Прошу помощи в определении типа шифровальщика и расшифровке.
      db2a95f2436fe2bc3ce6f2-README.txt Files.zip
    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • Melor
      Помощь в борьбе с шифровальщиками-вымогателями
      От Melor
      Прошу помощи в дешифровке файлов.
      Desktop.rar Addition.txt FRST.txt
×
×
  • Создать...