Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Шифровальщик id-xxxxxxxx.[xcsset@criptext.com].xcss

12fingers
 Поделиться

Рекомендуемые сообщения

12fingers Новичок

12fingers

Опубликовано
Опубликовано

Добрый день!

После работы через RDP возникла/обнаружена проблема.

Прилагаю файлы как указано.

Выявить файл шифровальщик не смог.

Addition.txt FILES ENCRYPTED.txt FRST.txt 2criptfiles.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM\...\Run: [1c_bitrix.exe] => C:\Windows\System32\1c_bitrix.exe [94720 2021-06-10] () [Файл не подписан]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta"
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\Администратор\AppData\Roaming\Info.hta"
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-06-10] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1c_bitrix.exe [2021-06-10] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-06-10] () [Файл не подписан]
2021-06-10 05:42 - 2021-06-10 05:42 - 000013917 _____ C:\Windows\system32\Info.hta
2021-06-10 05:42 - 2021-06-10 05:42 - 000013917 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2021-06-10 05:42 - 2021-06-10 05:42 - 000000208 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
2021-06-10 05:42 - 2021-06-10 05:42 - 000000208 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2021-06-10 05:42 - 2021-06-10 05:42 - 000000208 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2021-06-10 05:42 - 2021-06-10 05:42 - 000000208 _____ C:\FILES ENCRYPTED.txt
C:\Windows\System32\1c_bitrix.exe
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
14 часов назад, 12fingers сказал:

После перезагрузки стало похуже

А Вы случайно не удаленно выполняете скрипт? Нужно локально за компьютером. Потому и шифратор продолжает свою работу.

 

Предлагаю перейти к ручной зачистке.

 

1. Остановите через диспетчер задач все процессы 1c_bitrix.exe и mshta.exe.

2. Удалите вручную файлы

Цитата

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1c_bitrix.exe

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1C_BIT~1.EXE

C:\Windows\system32\1C_BIT~1.EXE

C:\Windows\system32\Info.hta
C:\Users\Администратор\AppData\Roaming\Info.hta

C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
C:\Users\Public\Desktop\FILES ENCRYPTED.txt
C:\ProgramData\Desktop\FILES ENCRYPTED.txt
C:\FILES ENCRYPTED.txt

 

 

3. С помощью редактора реестра удалите в ветке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run параметры

Цитата

1C_BIT~1.EXE
C:\Windows\System32\Info.hta
C:\Users\Администратор\AppData\Roaming\Info.hta

 

С расшифровкой помочь не сможем.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • darksimpson
      Помогите пожалуйста с шифровальщиком
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
    • Игорь_Белов
      Шифровальщик AES
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
    • Albina
      На сервер попал шифровальщик ((
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • __Михаил__
      Шифровальщик IxehUe8Rg
      Автор __Михаил__
      Добрый! 
      Пожалуйста, помогите расшифровать файлы на компьютере.
      Шифровальщик IxehUe8Rg.
      Файлы образцы и требование выкупа во вложении.
      Анализ_2.xlsx.rar
       
      Я так понимаю это CriptomanGizmo и с ним проблема.
      У меня есть несколько копий файлов не зашифрованных , с другого устройства.
      Может это поможет?
×
×
  • Создать...