Перейти к содержанию

Рекомендуемые сообщения

Доброго времени суток.

Пользователь где-то словил шифровальщик LIZARD

Помогите с дешифровкой.

Прикрепляю логи, зашифрованные файлы и требование шифровальщика. Сам файл шифровальщика не нашёл.

Спасибо

Логи.rar Зашифрованные файлы.rar Требование.rar

Ссылка на сообщение
Поделиться на другие сайты
Цитата

WinRAR 5.71 (64-bit) (HKLM\...\WinRAR archiver) (Version: 5.71.0 - win.rar GmbH)

вряд ли ставили в половине пятого утра самостоятельно устаревшую версию да еще и кейген для него с какого-то левого сайта скачали. Удалите.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe"
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe"
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Uninstall 20.124.0621.0006\amd64] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\20.124.0621.0006\amd64"
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Uninstall 20.124.0621.0006] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\20.124.0621.0006"
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {9581718C-1C8B-4B3A-96A5-F921CA1AF56F} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}" был разблокирован. <==== ВНИМАНИЕ
Task: {333E62A1-C75A-4D89-9FE3-90A90D070FEC} - System32\Tasks\Yandex.Stroka.User.S-1-5-21-67788420-3971000990-158340420-1177 => C:\Users\sakiyaeva\AppData\Local\Yandex\SearchBand\Application\5.5.0.1923\searchbandapp64.exe [6489592 2020-11-17] (YANDEX LLC -> Yandex LLC)
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}" был разблокирован. <==== ВНИМАНИЕ
2021-05-03 04:41 - 2021-05-03 04:41 - 000000000 ____D C:\Users\user\Downloads\xmrig-5.1.1-gcc-win64
2021-05-03 04:41 - 2021-05-03 04:41 - 000000000 ____D C:\Users\user\Downloads\WinRAR.v5.71.x64_AsanDl.com
2021-05-03 04:41 - 2021-05-03 04:41 - 000000000 ____D C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
2021-05-03 04:37 - 2021-05-03 04:37 - 003822780 _____ C:\Users\user\Downloads\xmrig-5.1.1-gcc-win64.zip
2021-05-03 04:36 - 2021-05-03 04:36 - 003335614 _____ C:\Users\user\Downloads\WinRAR.v5.71.x64_AsanDl.com.zip
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\user\Documents\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\user\Desktop\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\user\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\tarkh\Documents\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\tarkh\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\user\Documents\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\user\Desktop\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\user\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\tarkh\Documents\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\tarkh\#ReadThis.TXT
2021-05-03 04:29 - 2021-05-03 04:29 - 000002845 _____ C:\Users\sakiyaeva\Downloads\#ReadThis.HTA
2021-05-03 04:29 - 2021-05-03 04:29 - 000001179 _____ C:\Users\sakiyaeva\Downloads\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\sakiyaeva\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\sakiyaeva\Desktop\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\sakiyaeva\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Public\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Public\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\pintaev\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\pintaev\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\defaultuser0\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\defaultuser0\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Default\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Default\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Program Files\Common Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Program Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Program Files (x86)\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\sakiyaeva\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\sakiyaeva\Desktop\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\sakiyaeva\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Public\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Public\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\pintaev\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\pintaev\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\defaultuser0\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\defaultuser0\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Default\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Default\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Program Files\Common Files\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Program Files\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Program Files (x86)\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ () C:\Program Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ () C:\Program Files\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ () C:\Program Files (x86)\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ () C:\Program Files (x86)\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ () C:\Program Files\Common Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ () C:\Program Files\Common Files\#ReadThis.TXT
2021-05-03 04:31 - 2021-05-03 04:31 - 000002845 _____ () C:\Program Files (x86)\Common Files\#ReadThis.HTA
2021-05-03 04:31 - 2021-05-03 04:31 - 000001179 _____ () C:\Program Files (x86)\Common Files\#ReadThis.TXT
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на сообщение
Поделиться на другие сайты

Любое антивирусное решение любых разработчиков лишь уменьшает риск заболеть. 100% защиты не дает ни одно из них.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте. Пострадали от шифровальщика. Есть зашифрованные и не зашифрованные  txt для примера, есть сам вирус.  Кто то сможет помочь?

1.zip 2.zip

Ссылка на сообщение
Поделиться на другие сайты
12.05.2021 в 04:15, AgentSAB сказал:

Почему Касперский его пропустил?

Проведите аудит вашей ИТ инфраструктуры и откроете для себя много нового. Как может защитить антивирус, если по сути по RDP заходят, сносят или выключают антивирус, а далее шифруют файлы?

 

1 час назад, s5088042 сказал:

Здравствуйте. Пострадали от шифровальщика.

Здравствуйте, создайте свою тему. 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Darker
      У знакомых были зашифрованы файлы на виртуальной машине, резервных копий не оказалось, машина была сразу выключена, поэтому логи приложить не смогу. Nomoreransom.org определил эти файлы как Avaddon Ransom, но файлы не расшифровались с помощью предоставленных утилит.
      equalitytrust_files.zip
    • От makcsab
      Добрый день! Залетел шифровальщик, судя по всему через RDP  т.к. комп торчал нарушу портом 😬 (это уже исправили)
      Т.к. ПК был сразу выключен по питанию большого вреда нанести не удалось, но какие-то следы остались. 
      Из планировщика заданий было удалено задание которое запускало файл XMRLocker.exe который в свою очередь должен был лежать в папке ProgramData (его там не обнаружено).
      Прошу помощи в удалении возможных остатков этой заразы.
       
      FRST.txt Shortcut.txt Addition.txt
    • От KoHack
      Срочно нужен дескриптор как в теме https://forum.kasperskyclub.ru/topic/80828-resheno-securemilleni5000qqcom/page/3/
      Помтгите пожалуйста, ключ есть, нужна сама прога, очень важно, вопрос жизни и смерти... 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из "Правила раздела и ответы на частые вопросы".
    • От tvvvitos
      Добрый день! Поймал шифровальщик, по видимому Cryakl. Файлы прилагаю. Есть ли шанс расшифровать файлы? 
      encrypted.rar
    • От Smirnov85
      шифровальщик зашифровал файлы, в именах зашифрованных файлов присутствует secure[dealinfrm@cock.li]. Стандартные дешифровальщики от лаборатории Касперского не помогли (RakhniDecryptor, ShadeDecryptor, RannohDecryptor). Лог согласно инструкции прилагаю
      CollectionLog-2021.05.18-15.33.zip
×
×
  • Создать...