Перейти к содержанию

Рекомендуемые сообщения

Доброго времени суток.

Пользователь где-то словил шифровальщик LIZARD

Помогите с дешифровкой.

Прикрепляю логи, зашифрованные файлы и требование шифровальщика. Сам файл шифровальщика не нашёл.

Спасибо

Логи.rar Зашифрованные файлы.rar Требование.rar

Ссылка на сообщение
Поделиться на другие сайты
Цитата

WinRAR 5.71 (64-bit) (HKLM\...\WinRAR archiver) (Version: 5.71.0 - win.rar GmbH)

вряд ли ставили в половине пятого утра самостоятельно устаревшую версию да еще и кейген для него с какого-то левого сайта скачали. Удалите.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe"
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe"
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Uninstall 20.124.0621.0006\amd64] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\20.124.0621.0006\amd64"
HKU\S-1-5-21-3410376294-1177795880-4225130012-1001\...\RunOnce: [Uninstall 20.124.0621.0006] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\user\AppData\Local\Microsoft\OneDrive\20.124.0621.0006"
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {9581718C-1C8B-4B3A-96A5-F921CA1AF56F} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}" был разблокирован. <==== ВНИМАНИЕ
Task: {333E62A1-C75A-4D89-9FE3-90A90D070FEC} - System32\Tasks\Yandex.Stroka.User.S-1-5-21-67788420-3971000990-158340420-1177 => C:\Users\sakiyaeva\AppData\Local\Yandex\SearchBand\Application\5.5.0.1923\searchbandapp64.exe [6489592 2020-11-17] (YANDEX LLC -> Yandex LLC)
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}" был разблокирован. <==== ВНИМАНИЕ
2021-05-03 04:41 - 2021-05-03 04:41 - 000000000 ____D C:\Users\user\Downloads\xmrig-5.1.1-gcc-win64
2021-05-03 04:41 - 2021-05-03 04:41 - 000000000 ____D C:\Users\user\Downloads\WinRAR.v5.71.x64_AsanDl.com
2021-05-03 04:41 - 2021-05-03 04:41 - 000000000 ____D C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
2021-05-03 04:37 - 2021-05-03 04:37 - 003822780 _____ C:\Users\user\Downloads\xmrig-5.1.1-gcc-win64.zip
2021-05-03 04:36 - 2021-05-03 04:36 - 003335614 _____ C:\Users\user\Downloads\WinRAR.v5.71.x64_AsanDl.com.zip
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\user\Documents\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\user\Desktop\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\user\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\tarkh\Documents\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000002845 _____ C:\Users\tarkh\#ReadThis.HTA
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\user\Documents\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\user\Desktop\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\user\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\tarkh\Documents\#ReadThis.TXT
2021-05-03 04:30 - 2021-05-03 04:30 - 000001179 _____ C:\Users\tarkh\#ReadThis.TXT
2021-05-03 04:29 - 2021-05-03 04:29 - 000002845 _____ C:\Users\sakiyaeva\Downloads\#ReadThis.HTA
2021-05-03 04:29 - 2021-05-03 04:29 - 000001179 _____ C:\Users\sakiyaeva\Downloads\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\sakiyaeva\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\sakiyaeva\Desktop\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\sakiyaeva\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Public\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Public\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\pintaev\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\pintaev\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\defaultuser0\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\defaultuser0\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Default\Documents\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\Default\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Users\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Program Files\Common Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Program Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\Program Files (x86)\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ C:\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\sakiyaeva\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\sakiyaeva\Desktop\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\sakiyaeva\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Public\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Public\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\pintaev\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\pintaev\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\defaultuser0\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\defaultuser0\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Default\Documents\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\Default\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Users\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Program Files\Common Files\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Program Files\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\Program Files (x86)\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ C:\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ () C:\Program Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ () C:\Program Files\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ () C:\Program Files (x86)\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ () C:\Program Files (x86)\#ReadThis.TXT
2021-05-03 04:23 - 2021-05-03 04:23 - 000002845 _____ () C:\Program Files\Common Files\#ReadThis.HTA
2021-05-03 04:23 - 2021-05-03 04:23 - 000001179 _____ () C:\Program Files\Common Files\#ReadThis.TXT
2021-05-03 04:31 - 2021-05-03 04:31 - 000002845 _____ () C:\Program Files (x86)\Common Files\#ReadThis.HTA
2021-05-03 04:31 - 2021-05-03 04:31 - 000001179 _____ () C:\Program Files (x86)\Common Files\#ReadThis.TXT
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте. Пострадали от шифровальщика. Есть зашифрованные и не зашифрованные  txt для примера, есть сам вирус.  Кто то сможет помочь?

1.zip 2.zip

Ссылка на сообщение
Поделиться на другие сайты
12.05.2021 в 04:15, AgentSAB сказал:

Почему Касперский его пропустил?

Проведите аудит вашей ИТ инфраструктуры и откроете для себя много нового. Как может защитить антивирус, если по сути по RDP заходят, сносят или выключают антивирус, а далее шифруют файлы?

 

1 час назад, s5088042 сказал:

Здравствуйте. Пострадали от шифровальщика.

Здравствуйте, создайте свою тему. 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От KeksPNZ
      Вчера немного похозяйничал троян. Зашифровал файлы. Зашифрованные образцы прикрепил.
      Прикрепил логи от Farbar Recovery Scan Tool. Прошу посмотреть, есть ли последствия для системы.
      Сами трояны лежат в карантине другого антивируса(не будем пиарить конкурентов). Если расскажите как безопасно их достать, скину.
      зашифрованные файлы.rar Логи.rar
    • От tim_spirit
      Здравствуйте! Поймали шифровальщика Trojan-Ransom.MSIL.Crypmod.gen, предположительно, заражение произошло через открытый порт RDP (был включён удалённый рабочий стол с простым паролем).
      Система не переустанавливалась, запустили KVRT, папку карантина сохранили, могу отправить при необходимости.
      Зашифрованные файлы и оригинальная копия одного из файлов.rar Addition.txt FRST.txt Shortcut.txt
    • От aleksandr86
      Добрый день.
      Прошу помощи!!!!!
      Зашифровало все файлы на сервере, утилиту Farbar Recovery Scan Too скачал и запустил там. 2 файла зашифрованные, требование и результат проверки данной утилиты в прикрепленном архиве. Буду с нетерпением ждать от вас ответа!
      Вирус тоже успел сохранить, если потребуется готов выслать куда скажите
       
       
      archive.zip
       
    • От Njgjkm
      Доброго дня, несмотря на все сомнения в этом.
      Сегодня ночью некий скрипт с адреса 45.146.166.219 (вроде, Великобритания, хотя это и не важно) сумел подобрать пароль к одной учётке с админскими правами (каюсь, мой косяк, выдал обслуживающей организации аккаунт, но не проконтролировал смену простого стандартного пароля) и зашифровал все файлы, добавив к именам .id-<XXXXXXXX>.[dc1@imap.cc].DC
      Здесь на форуме (да и в целом в гугле) я не нашёл упоминаний подобной конструкции. Сталкивался ли кто-нибудь с данным зверем, и можно ли его вылечить?
       
      P.S. Да, если интересно, у меня есть exe-шник, который был запущен во время "обработки" файлов. Запускать его я, конечно же не хочу.
    • От DesignerD
      Добрый день!
      Прошу о помощи,
      Зашифрованы все файлы на четырёх разделах двух жестких дисков, даже системные, в винду загрузиться возможности нет.
      Все файлы без расширения, так же в каждой папке лежит txt записка с требованиями.
      Шифровальщик, предположительно, был пойман по рдп. 
       
      К письму прикрепляю архив с двумя файлами и запиской.
       
      Заранее, спасибо.
      files.rar
×
×
  • Создать...