Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Воможно новый вирус шифровальщик

ShadowStormOne
 Поделиться

Рекомендуемые сообщения

ShadowStormOne Новичок

ShadowStormOne

Опубликовано
Опубликовано

Здравствуйте случилось что-то не понятное, каким-то судом к моему пк подключились и соотвественно зашифровали все диски и файлы. Нужна ваша помощь.
Имена файлов выглядят вот так теперь ".lnk.secure[willettamoffat@yahoo.com]"
Ниже результаты скана

Addition.txtПолучение информации... FRST.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: 
    CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\MountPoints2: {62e7df1b-b871-11eb-921b-c86000e3d82a} - "F:\setup.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\RDP Wrapper
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\ESET
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\Cezurity
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\AVG
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\AVAST Software
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\AVG
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\SpyHunter
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\Malwarebytes
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\Enigma Software Group
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\COMODO
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\ByteFence
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files (x86)\360
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 ____D C:\Windows\speechstracing
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 ____D C:\ProgramData\System32
cmd: net user john /delete 

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
ShadowStormOne Новичок

ShadowStormOne

Опубликовано
  • Автор
Опубликовано (изменено)

Вот результат

Fixlog.txtПолучение информации...

Так же пара зашифрованных файлов

Desktop.zipПолучение информации...

Изменено пользователем ShadowStormOne
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • АндрейП
      Шифровальщик READ-ME-Nullhexxx
      Автор АндрейП
      Здравствуйте. Зашифровали два стареньких сервера терминалов, источник не понятен- ещё разбираемся. Подскажите есть шанс на расшифровку? На одном сервере у одного пользователя нашел в папке Pictures остатки вредоносного ПО, на втором в новой созданной злоумышленником учетке system32 почти такие же файлы, пришлю по запросу.
       
      файлы.rar
    • Артём Мельник
      not-a-virus:HEUR:AdWare.JS.ExtRedirect.gen чсто выскакивает этот вирус
      Автор Артём Мельник
      not-a-virus:HEUR:AdWare.JS.ExtRedirect.gen чсто выскакивает этот вирус
    • scopsa
      Вирус-шифровальщик "datastore@cyberfear"
      Автор scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
    • Gikboer
      Вирус-шифровальщик "datastore@cyberfear"
      Автор Gikboer
      Здравствуйте, подскажите пожалуйста. На компьютер попал вирус-шифровальщик и теперь все файлы стали называться с расширением "datastore@cyberfear". Вирус скорее-всего называется - Phobos.
×
×
  • Создать...