Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

помощь с шифровальщиком secure[milleni5000@qq.com].id-E6C57C30.[carbanak@aol.com]

Technodancer123
 Поделиться

Рекомендуемые сообщения

Technodancer123 Новичок

Technodancer123

Опубликовано
Опубликовано

Пойман шифровальщик. зашифрованы не все данные на сервере, а лишь часть. На системном диске в профилях пользователя все файлы целы, а вот на втором жестком диске, где находились базы 1с, офисные документы и бекапы баз(сделанные veeam agent) - они зашифрованные. Оканчивается зашифрованные файлы на:
".secure[milleni5000@qq.com].id-E6C57C30.[carbanak@aol.com]", а некоторые на более короткий вариант ".id-E6C57C30.[carbanak@aol.com]"
Тип файла: Файл "PAUQ" (.pauq)
Требования.7z
Прикладываю файлы с требованиями и два зараженных файла два зараженных файла.7zFRST.txt
а так же логи из программы
Просьба оказать помощь, подсказать как поступить, что делать.

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
Technodancer123 Новичок

Technodancer123

Опубликовано
  • Автор
Опубликовано
2 минуты назад, Sandor сказал:

К сожалению, это Crysis, расшифровки нет.

 

Я так понимаю, и в ближайшем будущем ожидать не стоит что появится расшифровщик?
Тогда подскажите, мог ли остаться сам шифровальщик в системе? Какие действия предпринять? Просто удалить все?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM-x32\...\RunOnce: [{D330C022-98E0-4156-A586-2302DE84B773}] => cmd.exe /C start /D "C:\Users\836D~1\AppData\Local\Temp" /B {D330C022-98E0-4156-A586-2302DE84B773}.cmd
HKU\S-1-5-21-1526947268-739351392-930481039-500\...\MountPoints2: {014373a0-523a-11e4-b848-806e6f6e6963} - D:\Run.exe
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\carb.exe [2021-02-19] () [File not signed]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-02-19] () [File not signed]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk.id-E6C57C30.[carbanak@aol.com].pauq [2021-02-19]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\carb.exe [2021-02-19] () [File not signed]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-02-19] () [File not signed]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk.id-E6C57C30.[carbanak@aol.com].pauq [2021-02-19]
C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
S3 45805464B440F16E; \??\c:\users\администратор\appdata\local\temp\13\6DDEF140-AA2B1638-E3E610E6-2DDA34DA\cfa1346df3.sys [X] <==== ATTENTION
2021-02-19 02:43 - 2021-02-19 02:43 - 000013912 _____ C:\Users\Test\AppData\Roaming\Info.hta
2021-02-19 02:43 - 2021-02-19 02:43 - 000013912 _____ C:\Users\Test\AppData\Roaming\Info.hta
2021-02-19 02:23 - 2021-02-19 02:23 - 000136192 _____ C:\Users\Test\AppData\Roaming\carb.exe
2021-02-19 02:23 - 2021-02-19 02:23 - 000136192 _____ C:\Users\Test\AppData\Roaming\carb.exe
2021-02-18 19:06 - 2021-02-19 02:23 - 000000000 ____D C:\Users\Test\AppData\Roaming\Process Hacker 2
2021-02-18 19:06 - 2021-02-19 02:23 - 000000000 ____D C:\Users\Test\AppData\Roaming\Process Hacker 2
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Technodancer123 Новичок

Technodancer123

Опубликовано
  • Автор
Опубликовано
56 минут назад, Sandor сказал:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
HKLM-x32\...\RunOnce: [{D330C022-98E0-4156-A586-2302DE84B773}] => cmd.exe /C start /D "C:\Users\836D~1\AppData\Local\Temp" /B {D330C022-98E0-4156-A586-2302DE84B773}.cmd
HKU\S-1-5-21-1526947268-739351392-930481039-500\...\MountPoints2: {014373a0-523a-11e4-b848-806e6f6e6963} - D:\Run.exe
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\carb.exe [2021-02-19] () [File not signed]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-02-19] () [File not signed]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk.id-E6C57C30.[carbanak@aol.com].pauq [2021-02-19]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\carb.exe [2021-02-19] () [File not signed]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-02-19] () [File not signed]
Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk.id-E6C57C30.[carbanak@aol.com].pauq [2021-02-19]
C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
S3 45805464B440F16E; \??\c:\users\администратор\appdata\local\temp\13\6DDEF140-AA2B1638-E3E610E6-2DDA34DA\cfa1346df3.sys [X] <==== ATTENTION
2021-02-19 02:43 - 2021-02-19 02:43 - 000013912 _____ C:\Users\Test\AppData\Roaming\Info.hta
2021-02-19 02:43 - 2021-02-19 02:43 - 000013912 _____ C:\Users\Test\AppData\Roaming\Info.hta
2021-02-19 02:23 - 2021-02-19 02:23 - 000136192 _____ C:\Users\Test\AppData\Roaming\carb.exe
2021-02-19 02:23 - 2021-02-19 02:23 - 000136192 _____ C:\Users\Test\AppData\Roaming\carb.exe
2021-02-18 19:06 - 2021-02-19 02:23 - 000000000 ____D C:\Users\Test\AppData\Roaming\Process Hacker 2
2021-02-18 19:06 - 2021-02-19 02:23 - 000000000 ____D C:\Users\Test\AppData\Roaming\Process Hacker 2
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Прикрепляю лог файл

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AJIEKCAHDP
      Нужна помощь, Шифровальщик cyberfear
      Автор AJIEKCAHDP
      Утром (26.02.2025) Зашифровало абсолютно все.  Помогите пож. 
      26022025.rar
    • Zubarev211
      Зашифровали данные компьютера с помощью шифровальщика Xorist
      Автор Zubarev211
      Добрый день, поймали шифровальщик Xorist, зашифровали все файлы расширением *.er. Нужно было восстановить базу данных 1С. Из теневой папки получилось восстановить 1CD8.1CD
      Указанный файл не был зашифрован расширением .er, но при запуске выдавало ошибку о повреждении данных.

      Так же пытались вашим декриптором использовали пару 2х файлов, но так же получали ошибку(пробовали на документах ворд)

      Подскажите пожалуйста какие дальнейшие шаги нам нужно сделать, чтобы восстановить базу. Спасибо! 
    • Excommunicadoo
      Помощь с шифровальщиком на хранилках NAS, расширение .lotus
      Автор Excommunicadoo
      Помощь с шифровальщиком на хранилках NAS, расширение .lotus
      Помогите расшифровать(((

      В тхт файле пишут следующее:
       
      If you see this, your files were successfully encrypted.
      We advice you not to search free decryption method.
      It's impossible. We are using symmetrical and asymmetric encryption.
      ATTENTION:
          - Don't rename encrypted files.
          - Don't change encrypted files.
          - Don't use third party software.
      TIME IS RUNNING OUT:
          - The longer you wait, the more money you'll have to pay to get your files back.
            If you wait too long, you'll lose them forever.
      To reach an agreement we offer you to contact with us.
      How to contact with us: 
          * Download Tor Browser:
              Get the Tor Browser from https://torproject.org/download
          * Launch Tor Browser:
                  Open the Tor Browser on your device.
          * Connect to Tor Network:
                  Click "Establish a Connection".
          * Go to this address:
                  Copy and paste address below in the address bar:
    • Эдуард Прокопенко
      [РАСШИФРОВАНО]Расшифровка шифровальщика Crylock 2.0 [honestandhope@qq.com]
      Автор Эдуард Прокопенко
      Здравствуйте! Почти 4 года назад словили шифровальщик и почти весь hdd с файлами попал под него. Просьба посмотреть, можно ли расшифровать. Скидываю пару тестовых файлов
      files.rar
      Addition.txt FRST.txt
    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      Автор Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
×
×
  • Создать...