thanos Нас посетил шифратор .secure

[IlyaP 0]

Здравствуйте, к нам проник шифровальщик .secure, возможно осталось тело вируса, по крайне мере злоумышленник оставил или забыл свой файл на одной машине, подскажите можно ли как то расшифровать? И куда прислать файл что злоумышленник оставил ? Название файла Dlya_Seti_Secure.exe 

files.zip FRST.txt Addition.txt

[IlyaP 0]

23 часа назад, IlyaP сказал:

Здравствуйте, к нам проник шифровальщик .secure, возможно осталось тело вируса, по крайне мере злоумышленник оставил или забыл свой файл на одной машине, подскажите можно ли как то расшифровать? И куда прислать файл что злоумышленник оставил ? Название файла Dlya_Seti_Secure.exe 

files.zip 14 kB · 2 загрузки FRST.txt 48 kB · 2 загрузки Addition.txt 50 kB · 1 загрузка

Проверил файл что остался от злоумышленника Dlya_Seti_Secure.exe на вашем сервисе opentip.kaspersky.com, обнаружен HEUR:Trojan-Ransom.MSIL.Thanos.gen, скажите пожалуйста реально расшифровать файлы имея тело вируса? Лицензия действующая касперского есть.

[Sandor 1 286]

Здравствуйте!

 

Скорее всего расшифровки нет. Но на всякий случай создайте запрос на расшифровку.

[IlyaP 0]

Спасибо, создам запрос на расшифровку , можете помочь в очистке? И еще есть машина , там кажется совсем плохо всё, её бы тоже очистить чтоб знать наверняка , поможете? 

[mike 1 1 044]

Учетную запись User с правами Администратора сами создавали?

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

   CreateRestorePoint:
   CloseProcesses:
   HKU\S-1-5-21-1226952892-1829795545-2721746513-1302\...\MountPoints2: {60c175dd-907d-11eb-839d-a8a1593b301c} - H:\AutoInstall.exe
   HKU\S-1-5-21-174893232-3788477856-1934005677-1000\...\MountPoints2: {47ccba3f-5a72-11ea-9740-a8a1593b301c} - J:\wpi\MInst.exe
   HKU\S-1-5-21-174893232-3788477856-1934005677-1000\...\MountPoints2: {60a25a67-5a58-11ea-83ac-806e6f6e6963} - D:\ASRSetup.exe
   Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk [2021-04-30]
   ShortcutTarget: mystartup.lnk -> C:\Users\i.petuhov\AppData\Local\Temp\Инструкция.txt (Нет файла)

    

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Изменено 4 мая, 2021 пользователем mike 1

[IlyaP 0]

Дата_Время на рабочем столе не появился.Fixlog.txt

[Sandor 1 286]

19 часов назад, IlyaP сказал:

еще есть машина , там кажется совсем плохо всё

Создайте отдельную тему и тоже выполните Порядок оформления запроса о помощи

[mike 1 1 044]

И на вопрос не ответили. 

[IlyaP 0]

04.05.2021 в 16:41, mike 1 сказал:

Учетную запись User с правами Администратора сами создавали?

Нет не я.

Извините, мне казалось я ответил, а получается самому себе) 

[mike 1 1 044]

Блокируйте учетную запись, смените все пароли. Проведите аудит своей ИТ инфраструктуры.