Перейти к содержанию

Воможно новый вирус шифровальщик

ShadowStormOne
 Share Подписчики 1

Рекомендуемые сообщения

ShadowStormOne

ShadowStormOne 0

Опубликовано
Опубликовано

Здравствуйте случилось что-то не понятное, каким-то судом к моему пк подключились и соотвественно зашифровали все диски и файлы. Нужна ваша помощь.
Имена файлов выглядят вот так теперь ".lnk.secure[willettamoffat@yahoo.com]"
Ниже результаты скана

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано (изменено)

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: 
    CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\MountPoints2: {62e7df1b-b871-11eb-921b-c86000e3d82a} - "F:\setup.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\RDP Wrapper
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\ESET
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\Cezurity
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\AVG
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\AVAST Software
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\AVG
2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\SpyHunter
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\Malwarebytes
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\Enigma Software Group
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\COMODO
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\ByteFence
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files (x86)\360
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 ____D C:\Windows\speechstracing
2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 ____D C:\ProgramData\System32
cmd: net user john /delete 

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • i.molvinskih
      Шифровальщик PHILIP_KIRKOROV
      От i.molvinskih
      Здраствуйте, в архиве требования, два зашифрованных файла и лог FRST.
      Шифрование произошло сегодня, журнал событий был очищен.
      требования_и_зашифрованные_файлы.zip
    • denis12345
      Help me! BlackBit!
      От denis12345
      Help me! сегодня взломали и подсадили шифровальщика BlackBit, файлы особо не важны, но срочно нужно восстановление базы 1С, вся работа предприятия парализована. Может кто-то уже сталкивался и расшифровывал, подскажите методы или ? Заранее спасибо!
    • ZzordNN
      Шифровальщик .an8uxv2w
      От ZzordNN
      По открытому порту rdp на один серверов проник вредитель и в ручную распространил его на другие сервера и несколько машин пользователей от имени администратора. Имеется перехваченный закрытый ключ - насколько он правильный и подходит нам, мы не понимаем.
      Прикрепляем архив с двумя зараженными файлами и памятку бандита с сервера, закрытый ключ.txt, фото исполняемых файлов вируса (сами файлы куда-то затерялись из-за паники) и два отчета от FRST.
      Возможно вам поможет pdf отчет от staffcop с логами действий мошенника и данными буфера, но к сожалению не могу прикрепить сюда его, т.к он весит 13мб. Прикрепляю ссылку на облако где лежит отчет - https://drive.google.com/drive/folders/1AoXCRWR76Ffq0bjwJa7ixVevrQ_9MchK?usp=sharing 
      files shifrator.zip
    • Evgen2454
      Шифровальщик Ransom:Win32/Lockbit.RPA!MTB с расширением .bGe6JmZwv
      От Evgen2454
      Добрый день. 07.07.2023 в ночь взломали все сервера и положили всю сеть. Обнаружили когда с утра не работала 1с. Ощущение будто ломали ручками потому что не до всех мест долезли и местами после подключения видны открытые окна которые оставили злоумышленники (было отрыто окно групповых политик где устанавливалось изображение рабочего стола). Файл exe который всё ломает антивирусом видится как Ransom:Win32/Lockbit.RPA!MTB. Сохранялся исполняемый файл в несколько директорий, вот которые заметил:

      C:\Windows\SYSVOL\domain\scripts
      \\domain.local\NETLOGON
      \\domain.local\SYSVOL\domain.local\scripts

      так же через время на принтеры отправили 999 копий текста вымогателей. Архив с вирусом есть. Очень нужна помощь по восстановлению данных.
      Addition.txtFRST.txtзашифрованный файл.rarbGe6JmZwv.README.txt
    • Aleksandr63
      Шифровальщик just
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
×
×
  • Создать...