Перейти к содержанию

LIZARD шифровальщик

AgentSAB
 Поделиться

Рекомендуемые сообщения

AgentSAB

AgentSAB

Опубликовано
Опубликовано

Доброго времени суток.

Пользователь где-то словил шифровальщик LIZARD

Помогите с дешифровкой.

Прикрепляю логи, зашифрованные файлы и требование шифровальщика. Сам файл шифровальщика не нашёл.

Спасибо

Логи.rar Зашифрованные файлы.rar Требование.rar

thyrex

thyrex

Опубликовано
Опубликовано

Увы, с расшифровкой помочь не сможем.

 

Чистка мусора в системе нужна или система под переустановку?

AgentSAB

AgentSAB

Опубликовано
  • Автор
Опубликовано

Если не получается, то как очистить лучше без следов? 

thyrex

thyrex

Опубликовано
Опубликовано
Цитата

WinRAR 5.71 (64-bit) (HKLM\...\WinRAR archiver) (Version: 5.71.0 - win.rar GmbH)

вряд ли ставили в половине пятого утра самостоятельно устаревшую версию да еще и кейген для него с какого-то левого сайта скачали. Удалите.

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe"
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe"
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Uninstall 20.124.0621.0006\amd64] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\20.124.0621.0006\amd64"
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Uninstall 20.124.0621.0006] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\20.124.0621.0006"
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {9581718C-1C8B-4B3A-96A5-F921CA1AF56F} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}" был разблокирован. <==== ВНИМАНИЕ
Task: {333E62A1-C75A-4D89-9FE3-90A90D070FEC} - System32\Tasks\Yandex.Stroka.User.S-1-5-21-67788420-3971000990-158340420-1177 => C:\Users\sakiyaeva\AppData\Local\Yandex\SearchBand\Application\5.5.0.1923\searchbandapp64.exe [6489592 2020-11-17] (YANDEX LLC -> Yandex LLC)
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}" был разблокирован. <==== ВНИМАНИЕ
2021-05-03 04:41 - 2021-05-03 04:41 - 000000000 ____D C:\Users\user\Downloads\xmrig-5.1.1-gcc-win64
2021-05-03 04:41 - 2021-05-03 04:41 - 000000000 ____D C:\Users\user\Downloads\WinRAR.v5.71.x64_AsanDl.com
2021-05-03 04:41 - 2021-05-03 04:41 - 000000000 ____D C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
2021-05-03 04:37 - 2021-05-03 04:37 - 003822780 _____ C:\Users\user\Downloads\xmrig-5.1.1-gcc-win64.zip
2021-05-03 04:36 - 2021-05-03 04:36 - 003335614 _____ C:\Users\user\Downloads\WinRAR.v5.71.x64_AsanDl.com.zip
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\user\Documents\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\user\Desktop\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\user\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\tarkh\Documents\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\tarkh\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\user\Documents\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\user\Desktop\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\user\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\tarkh\Documents\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\tarkh\#ReadThis.TXT
2021-05-03 04:29 - 2021-05-03 04:29 - 000002845 _____ C:\Users\sakiyaeva\Downloads\#ReadThis.HTA
2021-05-03 04:29 - 2021-05-03 04:29 - 000001179 _____ C:\Users\sakiyaeva\Downloads\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\sakiyaeva\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\sakiyaeva\Desktop\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\sakiyaeva\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Public\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Public\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\pintaev\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\pintaev\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\defaultuser0\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\defaultuser0\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Default\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Default\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Program Files\Common Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Program Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Program Files (x86)\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\sakiyaeva\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\sakiyaeva\Desktop\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\sakiyaeva\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Public\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Public\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\pintaev\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\pintaev\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\defaultuser0\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\defaultuser0\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Default\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Default\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Program Files\Common Files\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Program Files\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Program Files (x86)\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ () C:\Program Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ () C:\Program Files\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ () C:\Program Files (x86)\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ () C:\Program Files (x86)\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ () C:\Program Files\Common Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ () C:\Program Files\Common Files\#ReadThis.TXT
2021-05-03 04:31 - 2021-05-03 04:31 - 000002845 _____ () C:\Program Files (x86)\Common Files\#ReadThis.HTA
2021-05-03 04:31 - 2021-05-03 04:31 - 000001179 _____ () C:\Program Files (x86)\Common Files\#ReadThis.TXT
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

AgentSAB

AgentSAB

Опубликовано
  • Автор
Опубликовано (изменено)

Fixlog

 

А это новый шифратор? Почему Касперский его пропустил? ?

Fixlog.txt

Изменено пользователем AgentSAB
thyrex

thyrex

Опубликовано
Опубликовано

Любое антивирусное решение любых разработчиков лишь уменьшает риск заболеть. 100% защиты не дает ни одно из них.

s5088042

s5088042

Опубликовано
Опубликовано

Здравствуйте. Пострадали от шифровальщика. Есть зашифрованные и не зашифрованные  txt для примера, есть сам вирус.  Кто то сможет помочь?

1.zip 2.zip

mike 1

mike 1

Опубликовано
Опубликовано
12.05.2021 в 04:15, AgentSAB сказал:

Почему Касперский его пропустил?

Проведите аудит вашей ИТ инфраструктуры и откроете для себя много нового. Как может защитить антивирус, если по сути по RDP заходят, сносят или выключают антивирус, а далее шифруют файлы?

 

1 час назад, s5088042 сказал:

Здравствуйте. Пострадали от шифровальщика.

Здравствуйте, создайте свою тему. 

  • 1 год спустя...
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Буп
      Шифровальщик @BeGood327
      Автор Буп
      Зашифровали данные у всех компьютеров, что были в сети. 
      Выдаёт везде сообщение:
      FOR UNLOCK - CONTACT TELEGRAMM @BeGood327
    • merdOgli
      Шифровальщик
      Автор merdOgli
      Добрый день. у меня он же? 
       
      Dectryption-guide.txt
      Файлы выглядят как 
      GTDDOS209804.lic.[MJ-GC4976520831](Bleowalton@gmail.com).walton
      RSAKEY-MJ-PI4638251970.key  RSAKEY-MJ-PI4638251970.key - .txt
       
      + есть нетронутая VM с инсталлятором он не успел там запуститься. на ней нет антивируса. 
      Как действовать чтоб получить алгоритм шифрования? 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • gemlor
      шифровальщик [stopencrypt@qq.com].adobe
      Автор gemlor
      Добрый день.

      Словили шифровальщика  *id*[stopencrypt@qq.com].adobe .


      Зашифровал все файлы.

      Как точно попал на комп неизвестно, но 9 из 10 , что через почту.

      Главное касперский  удалил\вылечил архив, но это не помогло (могу приложить список действий касперского из "хранилища"), через несколько дней все было перешифровано.

      Прикрепляю файл логов.
      CollectionLog-2018.11.26-14.39.zip
    • Dkmgpu
      Файлы зашифрованы "Gust"
      Автор Dkmgpu
      Здравствуйте. Была взломана учетная запись с правами доменного администратора. Затем запущено шифрование на рабочей станции, а затем и на серверах. 
      CollectionLog-2018.07.25-14.42.zip
      Замок Сфорца.docx.zip
    • nsemak
      Необходима помощь в расшифровке файлов
      Автор nsemak
      Добрый день. Прошу помощи в расшифровке данных. Все по классике. Бухгалтер работала в терминальном сервере с правами админа, открыла почту и приехали. В архиве логи с программы "Farbar Recovery Scan Tool", зашифрованые файлы и файл о выкупе. 
       
      Файлы для анализа.zip
×
×
  • Создать...