Перейти к содержанию

Поймал вирус, все зашифровал unlckr@tutanota.com


Рекомендуемые сообщения

Пришел на работу, включен компьютер, хотя вечером выключал, захожу весит на рабочем столе письмо о выкупе, есть пару оригинальных файлов из тех которые зашифрованы

FRST.rar Зашифрованные.rar Oreg.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, расшифровки этой версии нет. Оригинальные файлы ничем не помогут.

Систему будете переустанавливать или почистим следы вымогателя?

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {06080b3b-f132-11e3-9a6f-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {06080b5d-f132-11e3-9a6f-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {0f7bd52f-30be-11e3-aa49-001fd00cd3f1} - F:\AutoRun.exe
    HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {40345d85-eb86-11e7-a036-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {49444d18-c327-11ea-86cb-001fd00cd3f1} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {49997f89-4a33-11e5-a2e1-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {5d73e70a-f462-11e3-8173-001fd00cd3f1} - "G:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {5d73e777-f462-11e3-8173-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {924fff9c-30bc-11e3-a355-001fd00cd3f1} - F:\AutoRun.exe
    HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {924fffaa-30bc-11e3-a355-001fd00cd3f1} - F:\AutoRun.exe
    HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {cb981ebd-2cdd-11e4-99a6-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {d5df0a1c-6949-11e3-9eb6-806e6f6e6963} - F:\AutoRun.exe
    HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {d5df0a64-6949-11e3-9eb6-001fd00cd3f1} - F:\AutoRun.exe
    HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {d5df0b10-6949-11e3-9eb6-001fd00cd3f1} - F:\AutoRun.exe
    HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {f0f72095-c593-11e5-9017-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {f0f7210b-c593-11e5-9017-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {f0fd71b5-efa3-11e3-9a57-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\drkyindlohbjnlv.txt [2021-03-09] () [Файл не подписан]
    2021-03-09 20:57 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\Desktop\drkyindlohbjnlv.txt
    2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\Tasks\drkyindlohbjnlv.txt
    2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\Tasks\drkyindlohbjnlv.txt
    2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\Drivers\etc\drkyindlohbjnlv.txt
    2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\Drivers\drkyindlohbjnlv.txt
    2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\config\drkyindlohbjnlv.txt
    2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\drkyindlohbjnlv.txt
    2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\Downloads\drkyindlohbjnlv.txt
    2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\Documents\drkyindlohbjnlv.txt
    2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\Roaming\Microsoft\Windows\Start Menu\drkyindlohbjnlv.txt
    2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\Roaming\drkyindlohbjnlv.txt
    2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\Local\drkyindlohbjnlv.txt
    2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\drkyindlohbjnlv.txt
    2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\drkyindlohbjnlv.txt
    2021-03-09 20:53 - 2021-03-09 20:53 - 000001345 _____ C:\Windows\drkyindlohbjnlv.txt
    2021-03-09 20:52 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\Local\drkyindlohbjnlv.txt
    2021-03-09 20:51 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\Downloads\drkyindlohbjnlv.txt
    2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\drkyindlohbjnlv.txt
    2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\Documents\drkyindlohbjnlv.txt
    2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\Desktop\drkyindlohbjnlv.txt
    2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\Roaming\drkyindlohbjnlv.txt
    2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\drkyindlohbjnlv.txt
    2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\drkyindlohbjnlv.txt
    2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Microsoft\Windows\Start Menu\drkyindlohbjnlv.txt
    2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\drkyindlohbjnlv.txt
    2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Documents\drkyindlohbjnlv.txt
    2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Desktop\drkyindlohbjnlv.txt
    2021-03-09 20:47 - 2021-03-09 20:50 - 000001345 _____ C:\Users\drkyindlohbjnlv.txt
    2021-03-09 20:47 - 2021-03-09 20:47 - 000001345 _____ C:\Program Files\drkyindlohbjnlv.txt
    2021-03-09 20:47 - 2021-03-09 20:47 - 000001345 _____ C:\Program Files\Common Files\drkyindlohbjnlv.txt
    2021-03-09 20:47 - 2021-03-09 20:47 - 000001345 _____ C:\drkyindlohbjnlv.txt
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Onegai
      От Onegai
      Добрый день! Сегодня мои знакомые подхватили шифровальщика на нескольких компах офиса. Предполагаю, что на всех (3-4)
      Во вложении пара зашифрованных файлов, один расшифрованный, полученный в переписке со злоумышленником, логи FRST, и текстовый файл с условиями выкупа. Файл самого вируса пока не смог найти
      data.zip
    • AlexDreyk
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • dsever
      От dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
    • vyz-project
      От vyz-project
      На рабочем компьютере 19.11.23 начиная примерно в 22:30 (судя по дате изменения) были зашифрованы все файлы. Теперь они все с расширением .id[705C9723-3351].[blankqq@tuta.io].elpy
      На данный момент зараженный компьютер изолирован. Но он был в локальной сети до этого момента.
      Логи и файлы приложил.
      pdf_files.7z Addition.txt FRST.txt
    • oocool
      От oocool
      Недавно словил Шифровальщик Phobos. Все файлы зашифрованы с расширением .elbie
      Была резервная копия данных, поэтому диск форматнули и восстановились.
      Знаю, что дешифровать его пока нельзя, но есть множество файлов - зашифрованных и их оригинал. Можно ли при их сопоставлении выявить закономерность (алгоритм или пароль)?
×
×
  • Создать...