Перейти к содержанию

Рекомендуемые сообщения

добрый день. 5 мая обратились ко мне с блокировщиком сервера, говорять что утром включили свои компьютеры, и по RDP подключались к серверу, работать не смоги, один пользователь попробовал перетащить файл к себе, и попробовать переименовать расширение, ничего у него не получилось и он удалил этот файл а корзину подчистил. высылаю к Вам файлы которые указаны в инструкции, с сервером пока ничего не делал, жду указаний.  

15.zip Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13917 2021-05-11] () [Файл не подписан]
HKLM\...\Run: [C:\Users\Direktor\AppData\Roaming\Info.hta] => C:\Users\Direktor\AppData\Roaming\Info.hta [13917 2021-05-05] () [Файл не подписан]
HKLM\...\Run: [C:\Users\Администратор.WIN-PD3V6TS1O7E\AppData\Roaming\Info.hta] => C:\Users\Администратор.WIN-PD3V6TS1O7E\AppData\Roaming\Info.hta [13917 2021-05-11] () [Файл не подписан]
HKLM\...\Run: [chrome32b.exe] => C:\Users\Администратор.WIN-PD3V6TS1O7E\AppData\Roaming\chrome32b.exe [94720 2021-05-11] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\chrome32b.exe [2021-05-11] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-05-11] () [Файл не подписан]
Startup: C:\Users\Администратор.WIN-PD3V6TS1O7E\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\chrome32b.exe [2021-05-11] () [Файл не подписан]
Startup: C:\Users\Администратор.WIN-PD3V6TS1O7E\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-05-11] () [Файл не подписан]
2021-05-11 08:39 - 2021-05-11 08:39 - 000094720 _____ C:\Users\Администратор.WIN-PD3V6TS1O7E\AppData\Roaming\chrome32b.exe
2021-05-05 18:01 - 2021-05-05 18:01 - 000094720 _____ C:\Windows\system32\chrome32b.exe
2021-05-05 11:03 - 2021-05-11 08:40 - 000013917 _____ C:\Users\Администратор.WIN-PD3V6TS1O7E\AppData\Roaming\Info.hta
2021-05-05 11:03 - 2021-05-11 08:40 - 000000212 _____ C:\Users\Администратор.WIN-PD3V6TS1O7E\Desktop\FILES ENCRYPTED.txt
2021-05-05 02:49 - 2021-05-11 08:40 - 000013917 _____ C:\Windows\system32\Info.hta
2021-05-05 02:49 - 2021-05-11 08:40 - 000000212 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2021-05-05 02:49 - 2021-05-11 08:40 - 000000212 _____ C:\FILES ENCRYPTED.txt
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

Ссылка на сообщение
Поделиться на другие сайты

Обычным способом. Шифровальщик еще активен.

 

Хотя сразу предупрежу - будет только чистка мусора, с расшифровкой помочь не сможем.

Ссылка на сообщение
Поделиться на другие сайты

при загрузке обычным способом ( с жесткого) при открывании флешки, сразу происходить переименования  расширения на флешке, не получается скопировать текс в Farbar Recovery Scan Tool, как мне поступать?

вот исправления

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

 

1 час назад, legion142 сказал:

при загрузке обычным способом ( с жесткого) при открывании флешки, сразу происходить переименования  расширения на флешке

Потому что шифратор был еще активен и стартовал при запуске системы. Теперь он удален. Больше помочь нечем.

Ссылка на сообщение
Поделиться на другие сайты

Расшифровка самых ранних версий этого вымогателя появилась только после слива ключей самими злодеями. С тех пор появилось порядка тысячи, если не больше, новых вариантов, расшифровку которых предлагают либо сами злодеи, либо посредники, которые с ними в доле.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От 12fingers
      Добрый день!
      После работы через RDP возникла/обнаружена проблема.
      Прилагаю файлы как указано.
      Выявить файл шифровальщик не смог.
      Addition.txt FILES ENCRYPTED.txt FRST.txt 2criptfiles.zip
    • От МихаилС
      Здравствуйте, к нам проник шифровальщик .coms. Пример зашифрованных файлов и логи прилагаю.
      Addition.txt files.rar FRST.txt
    • От lmnch
      Здравствуйте, помогите с расшифровкой файлов с расширением eye
      Addition.txt eye.zip FRST.txt
    • От Stedxem91
      Здравствуйте! У меня несколько не стандартная ситуация! В организации 4 компьютера заражены вирусом шифровальщиком с почтой james2020m@aol.com, странно что не в хронологическом порядке и не с общими папками! Три из них заражены полностью, то есть камня на камне не осталось от информации, затерто буквально все что можно, но есть один, по которому он прошелся всего ничего - зашифровал три базы 1с из 20 примерно, все документы в порядке, это я смотрю через live cd. Но я также вижу, что у него живые точки восстановления! В папке system volume information, там файлы по 5 гигабайт не зашифрованы! Я так понимаю, что если я заведу компьютер в обычном режиме - то вирус продолжит свою работу! Если же не заведу - то не смогу воспользоваться точкам восстановления! Подскажите, как его остановить, чтобы можно было запустить систему и предыдущие версии баз восстановить!
      DESKPR.0.rar Подпись модуль.2.jpg.id-043779A6.[James2020m@aol.com].rar
    • От Krazos
      Здравствуйте, атаковали ПК, зашифровали данные, вход в систему невозможен, причём был установлен KSOS (обновлённый со свежей базой), но злоумышленнику он не помеха оказался, ОС Server 2008 R2 со всеми обновлениями. Файлы FRST имеются, но они с другого ПК, к которому подключил зашифрованные диски, приложу если потребуется.
      Так же имеются 2 файла трояна (1l.exe и 894273_payload.exe ), передам если нужно. В архиве пара зашифрованных файлов и записка.
      Есть ли шансы на дешифровку?
      EYE.rar
×
×
  • Создать...