the dmr LIZARD шифровальщик

11 мая, 2021

Доброго времени суток.

Пользователь где-то словил шифровальщик LIZARD

Помогите с дешифровкой.

Прикрепляю логи, зашифрованные файлы и требование шифровальщика. Сам файл шифровальщика не нашёл.

Спасибо

Логи.rar Зашифрованные файлы.rar Требование.rar

11 мая, 2021

Увы, с расшифровкой помочь не сможем.

Чистка мусора в системе нужна или система под переустановку?

11 мая, 2021

Если не получается, то как очистить лучше без следов?

11 мая, 2021

Цитата

WinRAR 5.71 (64-bit) (HKLM\...\WinRAR archiver) (Version: 5.71.0 - win.rar GmbH)

вряд ли ставили в половине пятого утра самостоятельно устаревшую версию да еще и кейген для него с какого-то левого сайта скачали. Удалите.

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe"
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe"
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Uninstall 20.124.0621.0006\amd64] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\20.124.0621.0006\amd64"
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Uninstall 20.124.0621.0006] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\20.124.0621.0006"
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {9581718C-1C8B-4B3A-96A5-F921CA1AF56F} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}" был разблокирован. <==== ВНИМАНИЕ
Task: {333E62A1-C75A-4D89-9FE3-90A90D070FEC} - System32\Tasks\Yandex.Stroka.User.S-1-5-21-67788420-3971000990-158340420-1177 => C:\Users\sakiyaeva\AppData\Local\Yandex\SearchBand\Application\5.5.0.1923\searchbandapp64.exe [6489592 2020-11-17] (YANDEX LLC -> Yandex LLC)
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}" был разблокирован. <==== ВНИМАНИЕ
2021-05-03 04:41 - 2021-05-03 04:41 - 000000000 ____D C:\Users\user\Downloads\xmrig-5.1.1-gcc-win64
2021-05-03 04:41 - 2021-05-03 04:41 - 000000000 ____D C:\Users\user\Downloads\WinRAR.v5.71.x64_AsanDl.com
2021-05-03 04:41 - 2021-05-03 04:41 - 000000000 ____D C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
2021-05-03 04:37 - 2021-05-03 04:37 - 003822780 _____ C:\Users\user\Downloads\xmrig-5.1.1-gcc-win64.zip
2021-05-03 04:36 - 2021-05-03 04:36 - 003335614 _____ C:\Users\user\Downloads\WinRAR.v5.71.x64_AsanDl.com.zip
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\user\Documents\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\user\Desktop\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\user\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\tarkh\Documents\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\tarkh\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\user\Documents\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\user\Desktop\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\user\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\tarkh\Documents\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\tarkh\#ReadThis.TXT
2021-05-03 04:29 - 2021-05-03 04:29 - 000002845 _____ C:\Users\sakiyaeva\Downloads\#ReadThis.HTA
2021-05-03 04:29 - 2021-05-03 04:29 - 000001179 _____ C:\Users\sakiyaeva\Downloads\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\sakiyaeva\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\sakiyaeva\Desktop\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\sakiyaeva\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Public\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Public\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\pintaev\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\pintaev\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\defaultuser0\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\defaultuser0\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Default\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Default\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Program Files\Common Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Program Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Program Files (x86)\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\sakiyaeva\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\sakiyaeva\Desktop\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\sakiyaeva\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Public\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Public\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\pintaev\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\pintaev\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\defaultuser0\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\defaultuser0\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Default\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Default\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Program Files\Common Files\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Program Files\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Program Files (x86)\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ () C:\Program Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ () C:\Program Files\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ () C:\Program Files (x86)\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ () C:\Program Files (x86)\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ () C:\Program Files\Common Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ () C:\Program Files\Common Files\#ReadThis.TXT
2021-05-03 04:31 - 2021-05-03 04:31 - 000002845 _____ () C:\Program Files (x86)\Common Files\#ReadThis.HTA
2021-05-03 04:31 - 2021-05-03 04:31 - 000001179 _____ () C:\Program Files (x86)\Common Files\#ReadThis.TXT
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

12 мая, 2021

Fixlog

А это новый шифратор? Почему Касперский его пропустил? ?

Fixlog.txt

Изменено 12 мая, 2021 пользователем AgentSAB

13 мая, 2021

Любое антивирусное решение любых разработчиков лишь уменьшает риск заболеть. 100% защиты не дает ни одно из них.

19 мая, 2021

Здравствуйте. Пострадали от шифровальщика. Есть зашифрованные и не зашифрованные txt для примера, есть сам вирус. Кто то сможет помочь?

1.zip 2.zip

19 мая, 2021

12.05.2021 в 04:15, AgentSAB сказал:

Почему Касперский его пропустил?

Проведите аудит вашей ИТ инфраструктуры и откроете для себя много нового. Как может защитить антивирус, если по сути по RDP заходят, сносят или выключают антивирус, а далее шифруют файлы?

1 час назад, s5088042 сказал:

Здравствуйте. Пострадали от шифровальщика.

Здравствуйте, создайте свою тему.

6 сентября, 2022

Здравствуйте. Помогите пожалуйста с расшифровкой.

[AADDCFE2-3352].[5ops1rt3@tuta.io].LIZARD

info.zip

6 сентября, 2022

@torodion, здравствуйте!

Не пишите в чужой теме. Создайте свою, прочтите и выполните Порядок оформления запроса о помощи

Тут закрыто.

the dmr LIZARD шифровальщик

Рекомендуемые сообщения

AgentSAB

thyrex

AgentSAB

thyrex

AgentSAB

thyrex

s5088042

mike 1

torodion

Sandor

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum