Перейти к содержанию

помощь с шифровальщиком secure[milleni5000@qq.com].id-E6C57C30.[carbanak@aol.com]


Рекомендуемые сообщения

Пойман шифровальщик. зашифрованы не все данные на сервере, а лишь часть. На системном диске в профилях пользователя все файлы целы, а вот на втором жестком диске, где находились базы 1с, офисные документы и бекапы баз(сделанные veeam agent) - они зашифрованные. Оканчивается зашифрованные файлы на:
".secure[milleni5000@qq.com].id-E6C57C30.[carbanak@aol.com]", а некоторые на более короткий вариант ".id-E6C57C30.[carbanak@aol.com]"
Тип файла: Файл "PAUQ" (.pauq)
Требования.7z
Прикладываю файлы с требованиями и два зараженных файла два зараженных файла.7zFRST.txt
а так же логи из программы
Просьба оказать помощь, подсказать как поступить, что делать.

Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, Sandor сказал:

К сожалению, это Crysis, расшифровки нет.

 

Я так понимаю, и в ближайшем будущем ожидать не стоит что появится расшифровщик?
Тогда подскажите, мог ли остаться сам шифровальщик в системе? Какие действия предпринять? Просто удалить все?

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKLM-x32\...\RunOnce: [{D330C022-98E0-4156-A586-2302DE84B773}] => cmd.exe /C start /D "C:\Users\836D~1\AppData\Local\Temp" /B {D330C022-98E0-4156-A586-2302DE84B773}.cmd
    HKU\S-1-5-21-1526947268-739351392-930481039-500\...\MountPoints2: {014373a0-523a-11e4-b848-806e6f6e6963} - D:\Run.exe
    Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\carb.exe [2021-02-19] () [File not signed]
    Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-02-19] () [File not signed]
    Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk.id-E6C57C30.[carbanak@aol.com].pauq [2021-02-19]
    Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\carb.exe [2021-02-19] () [File not signed]
    Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-02-19] () [File not signed]
    Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk.id-E6C57C30.[carbanak@aol.com].pauq [2021-02-19]
    C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
    S3 45805464B440F16E; \??\c:\users\администратор\appdata\local\temp\13\6DDEF140-AA2B1638-E3E610E6-2DDA34DA\cfa1346df3.sys [X] <==== ATTENTION
    2021-02-19 02:43 - 2021-02-19 02:43 - 000013912 _____ C:\Users\Test\AppData\Roaming\Info.hta
    2021-02-19 02:43 - 2021-02-19 02:43 - 000013912 _____ C:\Users\Test\AppData\Roaming\Info.hta
    2021-02-19 02:23 - 2021-02-19 02:23 - 000136192 _____ C:\Users\Test\AppData\Roaming\carb.exe
    2021-02-19 02:23 - 2021-02-19 02:23 - 000136192 _____ C:\Users\Test\AppData\Roaming\carb.exe
    2021-02-18 19:06 - 2021-02-19 02:23 - 000000000 ____D C:\Users\Test\AppData\Roaming\Process Hacker 2
    2021-02-18 19:06 - 2021-02-19 02:23 - 000000000 ____D C:\Users\Test\AppData\Roaming\Process Hacker 2
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
56 минут назад, Sandor сказал:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    Start::
    HKLM-x32\...\RunOnce: [{D330C022-98E0-4156-A586-2302DE84B773}] => cmd.exe /C start /D "C:\Users\836D~1\AppData\Local\Temp" /B {D330C022-98E0-4156-A586-2302DE84B773}.cmd
    HKU\S-1-5-21-1526947268-739351392-930481039-500\...\MountPoints2: {014373a0-523a-11e4-b848-806e6f6e6963} - D:\Run.exe
    Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\carb.exe [2021-02-19] () [File not signed]
    Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-02-19] () [File not signed]
    Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk.id-E6C57C30.[carbanak@aol.com].pauq [2021-02-19]
    Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\carb.exe [2021-02-19] () [File not signed]
    Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-02-19] () [File not signed]
    Startup: C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk.id-E6C57C30.[carbanak@aol.com].pauq [2021-02-19]
    C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
    S3 45805464B440F16E; \??\c:\users\администратор\appdata\local\temp\13\6DDEF140-AA2B1638-E3E610E6-2DDA34DA\cfa1346df3.sys [X] <==== ATTENTION
    2021-02-19 02:43 - 2021-02-19 02:43 - 000013912 _____ C:\Users\Test\AppData\Roaming\Info.hta
    2021-02-19 02:43 - 2021-02-19 02:43 - 000013912 _____ C:\Users\Test\AppData\Roaming\Info.hta
    2021-02-19 02:23 - 2021-02-19 02:23 - 000136192 _____ C:\Users\Test\AppData\Roaming\carb.exe
    2021-02-19 02:23 - 2021-02-19 02:23 - 000136192 _____ C:\Users\Test\AppData\Roaming\carb.exe
    2021-02-18 19:06 - 2021-02-19 02:23 - 000000000 ____D C:\Users\Test\AppData\Roaming\Process Hacker 2
    2021-02-18 19:06 - 2021-02-19 02:23 - 000000000 ____D C:\Users\Test\AppData\Roaming\Process Hacker 2
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Прикрепляю лог файл

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От 12fingers
      Добрый день!
      После работы через RDP возникла/обнаружена проблема.
      Прилагаю файлы как указано.
      Выявить файл шифровальщик не смог.
      Addition.txt FILES ENCRYPTED.txt FRST.txt 2criptfiles.zip
    • От МихаилС
      Здравствуйте, к нам проник шифровальщик .coms. Пример зашифрованных файлов и логи прилагаю.
      Addition.txt files.rar FRST.txt
    • От legion142
      добрый день. 5 мая обратились ко мне с блокировщиком сервера, говорять что утром включили свои компьютеры, и по RDP подключались к серверу, работать не смоги, один пользователь попробовал перетащить файл к себе, и попробовать переименовать расширение, ничего у него не получилось и он удалил этот файл а корзину подчистил. высылаю к Вам файлы которые указаны в инструкции, с сервером пока ничего не делал, жду указаний.  
      15.zip Addition.txt FRST.txt
    • От lmnch
      Здравствуйте, помогите с расшифровкой файлов с расширением eye
      Addition.txt eye.zip FRST.txt
    • От Stedxem91
      Здравствуйте! У меня несколько не стандартная ситуация! В организации 4 компьютера заражены вирусом шифровальщиком с почтой james2020m@aol.com, странно что не в хронологическом порядке и не с общими папками! Три из них заражены полностью, то есть камня на камне не осталось от информации, затерто буквально все что можно, но есть один, по которому он прошелся всего ничего - зашифровал три базы 1с из 20 примерно, все документы в порядке, это я смотрю через live cd. Но я также вижу, что у него живые точки восстановления! В папке system volume information, там файлы по 5 гигабайт не зашифрованы! Я так понимаю, что если я заведу компьютер в обычном режиме - то вирус продолжит свою работу! Если же не заведу - то не смогу воспользоваться точкам восстановления! Подскажите, как его остановить, чтобы можно было запустить систему и предыдущие версии баз восстановить!
      DESKPR.0.rar Подпись модуль.2.jpg.id-043779A6.[James2020m@aol.com].rar
×
×
  • Создать...