Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте, к нам проник шифровальщик .secure, возможно осталось тело вируса, по крайне мере злоумышленник оставил или забыл свой файл на одной машине, подскажите можно ли как то расшифровать? И куда прислать файл что злоумышленник оставил ? Название файла Dlya_Seti_Secure.exe 

files.zip FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
23 часа назад, IlyaP сказал:

Здравствуйте, к нам проник шифровальщик .secure, возможно осталось тело вируса, по крайне мере злоумышленник оставил или забыл свой файл на одной машине, подскажите можно ли как то расшифровать? И куда прислать файл что злоумышленник оставил ? Название файла Dlya_Seti_Secure.exe 

files.zip 14 kB · 2 загрузки FRST.txt 48 kB · 2 загрузки Addition.txt 50 kB · 1 загрузка

Проверил файл что остался от злоумышленника Dlya_Seti_Secure.exe на вашем сервисе opentip.kaspersky.com, обнаружен HEUR:Trojan-Ransom.MSIL.Thanos.gen, скажите пожалуйста реально расшифровать файлы имея тело вируса? Лицензия действующая касперского есть.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Скорее всего расшифровки нет. Но на всякий случай создайте запрос на расшифровку.

Ссылка на сообщение
Поделиться на другие сайты

Спасибо, создам запрос на расшифровку , можете помочь в очистке? И еще есть машина , там кажется совсем плохо всё, её бы тоже очистить чтоб знать наверняка , поможете? 

Ссылка на сообщение
Поделиться на другие сайты

Учетную запись User с правами Администратора сами создавали?

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-1226952892-1829795545-2721746513-1302\...\MountPoints2: {60c175dd-907d-11eb-839d-a8a1593b301c} - H:\AutoInstall.exe
    HKU\S-1-5-21-174893232-3788477856-1934005677-1000\...\MountPoints2: {47ccba3f-5a72-11ea-9740-a8a1593b301c} - J:\wpi\MInst.exe
    HKU\S-1-5-21-174893232-3788477856-1934005677-1000\...\MountPoints2: {60a25a67-5a58-11ea-83ac-806e6f6e6963} - D:\ASRSetup.exe
    Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk [2021-04-30]
    ShortcutTarget: mystartup.lnk -> C:\Users\i.petuhov\AppData\Local\Temp\Инструкция.txt (Нет файла)

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
19 часов назад, IlyaP сказал:

еще есть машина , там кажется совсем плохо всё

Создайте отдельную тему и тоже выполните Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты
04.05.2021 в 16:41, mike 1 сказал:

Учетную запись User с правами Администратора сами создавали?

Нет не я.

Извините, мне казалось я ответил, а получается самому себе) 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Qwaide
      Первый симптом был при подключении через RDP (компьютер доступен в интернете по белому адресу), произошло отключение будто кто-то подключился к удаленному ПК, при попытке подключится повторно отправилось предупреждение что я не могу подключится к ПК, т.к. другой (неизвестный мне Phil) пользователь подключен у компьютеру (справочно - windows 10 pro, насколько помню только один пользователь может подключен одновременно к ПК). Спустя пару минут все же смог подключится. 
      Позднее обнаружил что действительно появился пользователь Phil (в папке C:\Users ). 
       
      После перезагрузки ПК не было блокировки экрана, но:
      Windows defender перестал работать - "Параметрами защиты от вирусов и угроз управляет ваша организация." 
      Точки восстановления были удалены.
      Файлы зашифрованы (к файлам добавлено ".secure[gowrite@airmail.cc]"
      Появился текстовик - RESTORE_FILES_INFO
       
      Cure.It при проверке нашел один зараженный файл, Virus Removal Tool в данный момент проводит проверку. 
      Пробовал некоторые дешифровщики в том числе Касперского, не помогли решить проблему.
    • От PhaetonX
      Добрый вечер! Сегодня днем сотрудница офиса обратилась с проблемой о том, что файлы pdf перестали открываться. Подключившись по rdp выяснил, что нарушено сопоставление файлов с adobe reader и в памяти "висит" несколько запущенных процессов. Сопоставление вручную решило проблему. Попутно заметил, что установленное антивирусное решение стороннего производителя не активно поскольку закончился пробный период. Переустановил его на бесплатную версию kaspersky security cloud и запустил проверку. Четырьмя часами позже вновь подключился по удаленному рабочему столу и был шокирован увиденным. Абсолютно все файлы зашифрованы. Система Windows 7, обновлений по понятным причинам нет. Так же доподлинно не известно есть ли резервные копии всего этого.... Очень надеемся на Вашу помощь, спасибо!
      Зашифрованные файлы.zip
      Addition.txt FRST.txt
    • От Profnight
      Доброго дня, подцепил что-то новое - перерыл весь инет не нашел ничего похожего по названиям и меткам. Возможно эти данные генерируются случайно. По итогу все файлы зашифрованы, на компьютере удаленно работает пожилая бухгалтер, и восстановить данные вручную она уже не сможет. Сейчас (узнав о ситуации) - хочет увольняться, в общем все очень сложно и просто форматнуть диски и забыть - очень нужно достать данные. Резервное копирование выполнялось на второй локальный диск (интернет не позволяет делать его на удаленный сервер - копии так же зашифрованы).

      К компьютеру был доступ по RDP, либо бухгалтер что-то запустила из почтовых вложений, других явных точек входа для шифровальщика не было. 

      В файле-послании RESTORE_FILES_INFO.txt указан почтовый адрес dealinfrm@cock.li (пока молчат, жду ответ), и адрес сайта http://sonarmsniko2lvfu.onion/contact/dealinform/ которого нет среди доменных имен.
      Диспетчер задач заблокирован - при попытке запуска пишет что файл не найден, но он есть в System32, размер файла такой же, как на обычном PC. Посторонних и скрытых папок на компьютере нет. Просто зашифровано все: тексты, фото, архивы и даже копии самописных сайтов на PHP. В интернетdealinform.rar заходит нормально, на сайт https://www.kaspersky.ru/ так же доступ есть. 

      Во вложении файл Procexp.txt - это выгрузка процессов из Process Eplorer (компьютер не перезагружался - может быть что-то еще висеть из явного). Касперского не запускал - решил получить сначала от Вас рекомендации (есть активная лицензия на Kaspersky Anti-Virus (код: Q78TQ-****-****-8U7M1), антивирус не ставился, т.к. бухгалтер жаловалась что базы работают медленно. Если необходимо приобрести лицензию другого продукта Kaspersky - тут вопросов не будет. 
       
      Продолжил изучать что с системой: в учетках нашел локальную учетную запись localhost с правами админа, удалить не могу - пишет что "Этому человеку нужно выполнить выход, прежде чем вы сможете удалить его учетную запись". Пользователь добавлен в удаленный доступ. Компьютер явно будут пытаться использовать для атак или еще чего. Попробую убрать этого юзера. 
      Локальная оснастка заблокирована, события и прочее посмотреть не могу.
      дублирую файл вложения - как-то он в теле сообщения разместился.
      dealinform.rar
    • От Калинин Евгений
      Помогите расшифровать файлы. Все файлы во вложении
      Addition.txt FRST.txt RESTORE_FILES_INFO.txt u_ex170709.log.[ID-FE4528A8].[john2wick@tuta.io].zip
    • От АlexM
      Здравствуйте.
      Поймали шифратор, зашифровано почти все. Помогите пожалуйста подлечиться и есть ли шанс на дешифровку?
      07042021.zip Addition.txt FRST.txt
×
×
  • Создать...