Перейти к содержанию
Задай вопрос Ивану Рождественскому!
Сертификаты Ozon и подписка на Яндекс Плюс для участников клуба

Шифровальщик .coms

МихаилС
 Share Подписчики 1

Рекомендуемые сообщения

thyrex

thyrex 1283

Опубликовано
Опубликовано

Система заражена и файловым вирусом Neshta. Пролечитесь так (скачивать и записывать образ нужно на другой, чистой от вирусов, машине) 

 

После завершения сделайте новые логи по правилам.

Ссылка на сообщение
Поделиться на другие сайты
МихаилС

МихаилС 0

Опубликовано
  • Автор
Опубликовано
4 часа назад, thyrex сказал:

Система заражена и файловым вирусом Neshta. Пролечитесь так (скачивать и записывать образ нужно на другой, чистой от вирусов, машине) 

 

После завершения сделайте новые логи по правилам.

Не получилось, видимо KRD не поддерживает RAID-контроллер(файловый менеджер тоже не открывает диски).

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1283

Опубликовано
Опубликовано

С расшифровкой помочь не сможем. Будет только зачистка следов вируса, в т.ч. и активного шифратора.

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM\...\Run: [x64bit.exe] => C:\Windows\System32\x64bit.exe [94720 2021-05-10] () [Файл не подписан]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2021-05-11] () [Файл не подписан]
HKLM\...\Run: [C:\Users\Екатерина Викторовна.FILE-SERVER\AppData\Roaming\Info.hta] => C:\Users\Екатерина Викторовна.FILE-SERVER\AppData\Roaming\Info.hta [13919 2021-05-11] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-05-11] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\x64bit.exe [2021-05-10] () [Файл не подписан]
Startup: C:\Users\Екатерина Викторовна.FILE-SERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-05-10] () [Файл не подписан]
Startup: C:\Users\Екатерина Викторовна.FILE-SERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x64bit.exe [2021-05-10] () [Файл не подписан]
2021-05-11 09:47 - 2021-05-11 09:47 - 000041472 _____ C:\Windows\svchost.com
2021-05-11 09:19 - 2021-05-11 09:19 - 000013919 _____ C:\Windows\system32\Info.hta
2021-05-11 09:19 - 2021-05-11 09:19 - 000013919 _____ C:\Users\Екатерина Викторовна.FILE-SERVER\AppData\Roaming\Info.hta
C:\Users\Екатерина Викторовна.FILE-SERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x64bit.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\x64bit.exe
C:\Windows\System32\x64bit.exe
2021-05-10 01:53 - 2021-05-10 01:53 - 000000218 _____ C:\Users\Екатерина Викторовна.FILE-SERVER\Desktop\FILES ENCRYPTED.txt
2021-05-10 01:53 - 2021-05-10 01:53 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2021-05-10 01:53 - 2021-05-10 01:53 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2021-05-10 01:53 - 2021-05-10 01:53 - 000000218 _____ C:\FILES ENCRYPTED.txt
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1283

Опубликовано
Опубликовано

С помощью редактора реестра удалите вручную в ветке

Цитата

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

параметр 

Цитата

C:\Users\Екатерина Викторовна.FILE-SERVER\AppData\Roaming\Info.hta

 

Также удалите вручную файлы
 

Цитата

 

C:\Users\Екатерина Викторовна.FILE-SERVER\AppData\Roaming\Info.hta

C:\Users\Екатерина Викторовна.FILE-SERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

 

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Bolodya
      Шифровальщик James2020m@aol.com
      От Bolodya
      Добрый день! Компьютер простаивал несколько часов в холостую, и шифровальщик был обнаружен когда все файлы уже были зашифрованы. Проник скорей всего по RDP из-за слабого пароля администратора. Система сразу была переустановлена, а все данные остались на втором диске.
      files.7z
    • PerminovAA
      Поймали шифровальщика id-8CC130F4.[James2020m@aol.com].MUST,
      От PerminovAA
      Добрый день, нужна помощь поймали шифровальщика
      Addition.txt 123123.rar FRST.txt
    • Сергей47
      c0v1d19@job4u.com
      От Сергей47
      Кто-нибудь сталкивался с этим?
    • Iustitiae
      Вирус шафровальщик p1gansta1p
      От Iustitiae
      Нас атаковал шифровальщик. Все файлы на серверах были зашифрованы. В имени каждого файла почта p1gansta1p@aol.com
      Дополнительная почта gparadise@tuta.io
      Как удалось выяснить, хакеры в 3 часа ночи обошли фаервол, и подселили вирус на основные сервера, до утра он старательно все шифровал. 
      Написали на почту, пришел ответ - переводите деньги на наш кошелек, данные восстановим. 
      Ущерб был огромен, решили что лучше откупиться - перевели 1500$ на указанный кошелек, как этого требовали вымогатели. 
      И вот уже 4 день тишина в ответ. Нас еще дополнительно кинули! Поэтому мой вам честный совет: НЕ ПЕРЕВОДИТЕ ДЕНЬГИ, это ничего НЕ МЕНЯЕТ - вас просто КИНУТ.  
       
      На нескольких серверах нашли троян Trojan.Ransom - догадываемся, что именно через него был осуществлен вход. Что интересно, после оплаты выкупа, у нас удалили логи, практически сразу был еще один взлом.  скинуть. 
      Это все было предупреждением, а теперь вопрос - есть ли известный расшифровщик? мы не смогли нагуглить 
       

    • pdgerman
      Шифровальщик .id-AC586E9C.[anticrypto@tutanota.com].harma нужна помощь
      От pdgerman
      Добрый день! после перезагрузки сервака на одной из учеток зашифровались все личные файлы в названии каждого .id-AC586E9C.[anticrypto@tutanota.com].harma
      прошу помощи. пример мелкого файла прикрепляю
      appointment.fr3.id-AC586E9C.[anticrypto@tutanota.com].zip
×
×
  • Создать...