Перейти к содержанию

Воможно новый вирус шифровальщик

ShadowStormOne
 Поделиться

Рекомендуемые сообщения

ShadowStormOne

ShadowStormOne

Опубликовано
Опубликовано

Здравствуйте случилось что-то не понятное, каким-то судом к моему пк подключились и соотвественно зашифровали все диски и файлы. Нужна ваша помощь.
Имена файлов выглядят вот так теперь ".lnk.secure[willettamoffat@yahoo.com]"
Ниже результаты скана

Addition.txt FRST.txt

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: 
    CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\MountPoints2: {62e7df1b-b871-11eb-921b-c86000e3d82a} - "F:\setup.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\RDP Wrapper
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\ESET
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\Cezurity
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\AVG
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\AVAST Software
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\AVG
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\SpyHunter
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\Malwarebytes
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\Enigma Software Group
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\COMODO
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\ByteFence
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files (x86)\360
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 ____D C:\Windows\speechstracing
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 ____D C:\ProgramData\System32
cmd: net user john /delete 

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
ShadowStormOne

ShadowStormOne

Опубликовано
  • Автор
Опубликовано (изменено)

Вот результат

Fixlog.txt

Так же пара зашифрованных файлов

Desktop.zip

Изменено пользователем ShadowStormOne
mike 1

mike 1

Опубликовано
Опубликовано

Сделайте новые логи frst.txt, addition.txt

mike 1

mike 1

Опубликовано
Опубликовано

Логи в порядке. С расшифровкой не поможем на форуме.

ShadowStormOne

ShadowStormOne

Опубликовано
  • Автор
Опубликовано

Есть информация что это за шифровальщик такой? В интретах нет информации почти

mike 1

mike 1

Опубликовано
Опубликовано

Предположительно trojan-ransom.msil.thanos

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sater123
      Вирус шифровальщик
      Автор sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • Vital888
      Вирус шифровальщик
      Автор Vital888
      Здравствуйте. Помогите пожалуйста. На компьютере с утра обнаружил зашифрованные файлы. 
       
    • dgluhov
      Вирус-шифровальщик
      Автор dgluhov
      Зашифрованы все файлы на компьютере. Имена файлов типа: z52weovl6gu8t9c-Mail(itservicerec@zohomail.eu)-ID(89547642786312).trfsqa. Расширения разные
      Обнаружил папку DecryptionKey на каждом из дисков. Утилиту FIRST.exe запустить смог только с диска восстановления
      Логи во вложении
      DecryptionKey.zip FRST.zip
    • ppasoft
      Вирус шифровальщик
      Автор ppasoft
      Взломали пароль к РДП, заразили вирусом-шифровальщика 2 компьютера.
      На обоих стоял Касперский KIS 12.
      На рабочем столе взломанного аккаунта нашел файл вируса(пароль от архива 123), также там есть еще какие то файлы с названием 5-NS new.exe, с размером около 300мб, вероятно 
      использовалось для установки вирусов. На диске где установлен windows была папка Decryption key, ее тоже приложил в архив файлы, возможно поможет. Также архиве приложен текст вымогателя, логи программы 
      FRST.
      virus.rar Файлы.rar
    • Elgfinby
      Вирус шифровальщик
      Автор Elgfinby
      Здравствуйте, поймали вирус-шифровальщик,  появился такой файл:
      Привет!
      Все файлы зашифрованы.
      Попытка расшифровать файлы приведет к их повреждению.
      Я могу помочь вам за определенную плату.
      Ваш ID ********.
      Свяжитесь со мной по электронной почте — cryptoexpertoo@hotmail.com.

      Если ID нужен, то могу отправить. Так же в файле сообщение ещё на нескольких языках

      Также, если нужно, могу прислать зашифрованные файлы.

      На рабочем столе заставка не поменялась, стоит Kaspersky Internet Security 21.3.10.391(k), быстрая проверка вирусов не находит
×
×
  • Создать...