Перейти к содержанию

Рекомендуемые сообщения

Доброго времени суток.

Пользователь где-то словил шифровальщик LIZARD

Помогите с дешифровкой.

Прикрепляю логи, зашифрованные файлы и требование шифровальщика. Сам файл шифровальщика не нашёл.

Спасибо

Логи.rar Зашифрованные файлы.rar Требование.rar

Ссылка на сообщение
Поделиться на другие сайты
Цитата

WinRAR 5.71 (64-bit) (HKLM\...\WinRAR archiver) (Version: 5.71.0 - win.rar GmbH)

вряд ли ставили в половине пятого утра самостоятельно устаревшую версию да еще и кейген для него с какого-то левого сайта скачали. Удалите.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe"
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe"
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Uninstall 20.124.0621.0006\amd64] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\20.124.0621.0006\amd64"
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Uninstall 20.124.0621.0006] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\20.124.0621.0006"
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {9581718C-1C8B-4B3A-96A5-F921CA1AF56F} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}" был разблокирован. <==== ВНИМАНИЕ
Task: {333E62A1-C75A-4D89-9FE3-90A90D070FEC} - System32\Tasks\Yandex.Stroka.User.S-1-5-21-67788420-3971000990-158340420-1177 => C:\Users\sakiyaeva\AppData\Local\Yandex\SearchBand\Application\5.5.0.1923\searchbandapp64.exe [6489592 2020-11-17] (YANDEX LLC -> Yandex LLC)
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}" был разблокирован. <==== ВНИМАНИЕ
2021-05-03 04:41 - 2021-05-03 04:41 - 000000000 ____D C:\Users\user\Downloads\xmrig-5.1.1-gcc-win64
2021-05-03 04:41 - 2021-05-03 04:41 - 000000000 ____D C:\Users\user\Downloads\WinRAR.v5.71.x64_AsanDl.com
2021-05-03 04:41 - 2021-05-03 04:41 - 000000000 ____D C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
2021-05-03 04:37 - 2021-05-03 04:37 - 003822780 _____ C:\Users\user\Downloads\xmrig-5.1.1-gcc-win64.zip
2021-05-03 04:36 - 2021-05-03 04:36 - 003335614 _____ C:\Users\user\Downloads\WinRAR.v5.71.x64_AsanDl.com.zip
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\user\Documents\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\user\Desktop\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\user\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\tarkh\Documents\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\tarkh\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\user\Documents\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\user\Desktop\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\user\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\tarkh\Documents\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\tarkh\#ReadThis.TXT
2021-05-03 04:29 - 2021-05-03 04:29 - 000002845 _____ C:\Users\sakiyaeva\Downloads\#ReadThis.HTA
2021-05-03 04:29 - 2021-05-03 04:29 - 000001179 _____ C:\Users\sakiyaeva\Downloads\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\sakiyaeva\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\sakiyaeva\Desktop\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\sakiyaeva\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Public\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Public\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\pintaev\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\pintaev\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\defaultuser0\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\defaultuser0\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Default\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Default\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Program Files\Common Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Program Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Program Files (x86)\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\sakiyaeva\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\sakiyaeva\Desktop\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\sakiyaeva\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Public\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Public\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\pintaev\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\pintaev\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\defaultuser0\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\defaultuser0\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Default\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Default\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Program Files\Common Files\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Program Files\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Program Files (x86)\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ () C:\Program Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ () C:\Program Files\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ () C:\Program Files (x86)\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ () C:\Program Files (x86)\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ () C:\Program Files\Common Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ () C:\Program Files\Common Files\#ReadThis.TXT
2021-05-03 04:31 - 2021-05-03 04:31 - 000002845 _____ () C:\Program Files (x86)\Common Files\#ReadThis.HTA
2021-05-03 04:31 - 2021-05-03 04:31 - 000001179 _____ () C:\Program Files (x86)\Common Files\#ReadThis.TXT
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на сообщение
Поделиться на другие сайты

Любое антивирусное решение любых разработчиков лишь уменьшает риск заболеть. 100% защиты не дает ни одно из них.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте. Пострадали от шифровальщика. Есть зашифрованные и не зашифрованные  txt для примера, есть сам вирус.  Кто то сможет помочь?

1.zip 2.zip

Ссылка на сообщение
Поделиться на другие сайты
12.05.2021 в 04:15, AgentSAB сказал:

Почему Касперский его пропустил?

Проведите аудит вашей ИТ инфраструктуры и откроете для себя много нового. Как может защитить антивирус, если по сути по RDP заходят, сносят или выключают антивирус, а далее шифруют файлы?

 

1 час назад, s5088042 сказал:

Здравствуйте. Пострадали от шифровальщика.

Здравствуйте, создайте свою тему. 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От artastu
      Добрый день. На сервер попал шифровальщик. Все файлы теперь с расширением hydra.
      Сделала проверку с помощью Dr Web Live Disk. Были найдены вирусы (скрин вложил). Пролечил. При повторной проверке всё чисто.
      Прошу помощи в восстановлении. 

      CollectionLog-2021.08.31-12.53.zip
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов".
    • От shon_kostja
      Добрый день. Та же проблема поймали шифровальщик. Прилагаю оригинальный файл и зашифрованный
      11.zip
    • От Nikita44
      Добрый день, у меня возникла следующая проблема.
      Вирусы зашифровали файлы на моем сервере, помогите пожалуйста восстановить файлы.
      Вирусную папку с данными прилагаю.
       
       
       
      FinalWire AIDA64 v4.70.3200 RePack (& portable) by KpoJIuK.zip
    • От s.evgeny.a
      Добрый день! Помогите пожалуйста. На сервере поймали шифровальщик. Файлы прикрепляю
      Файлы.rar
    • От Павелk
      Добрый день!
      Есть возможность расшифровать файлы от этого шифровальщика [James2020m@aol.com].MUST?
×
×
  • Создать...