Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Шифровальщик id-xxxxxxxx.[xcsset@criptext.com].xcss

12fingers
 Поделиться

Рекомендуемые сообщения

12fingers Новичок

12fingers

Опубликовано
Опубликовано

Добрый день!

После работы через RDP возникла/обнаружена проблема.

Прилагаю файлы как указано.

Выявить файл шифровальщик не смог.

Addition.txt FILES ENCRYPTED.txt FRST.txt 2criptfiles.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM\...\Run: [1c_bitrix.exe] => C:\Windows\System32\1c_bitrix.exe [94720 2021-06-10] () [Файл не подписан]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta"
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\Администратор\AppData\Roaming\Info.hta"
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-06-10] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1c_bitrix.exe [2021-06-10] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-06-10] () [Файл не подписан]
2021-06-10 05:42 - 2021-06-10 05:42 - 000013917 _____ C:\Windows\system32\Info.hta
2021-06-10 05:42 - 2021-06-10 05:42 - 000013917 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2021-06-10 05:42 - 2021-06-10 05:42 - 000000208 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
2021-06-10 05:42 - 2021-06-10 05:42 - 000000208 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2021-06-10 05:42 - 2021-06-10 05:42 - 000000208 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2021-06-10 05:42 - 2021-06-10 05:42 - 000000208 _____ C:\FILES ENCRYPTED.txt
C:\Windows\System32\1c_bitrix.exe
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
14 часов назад, 12fingers сказал:

После перезагрузки стало похуже

А Вы случайно не удаленно выполняете скрипт? Нужно локально за компьютером. Потому и шифратор продолжает свою работу.

 

Предлагаю перейти к ручной зачистке.

 

1. Остановите через диспетчер задач все процессы 1c_bitrix.exe и mshta.exe.

2. Удалите вручную файлы

Цитата

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1c_bitrix.exe

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1C_BIT~1.EXE

C:\Windows\system32\1C_BIT~1.EXE

C:\Windows\system32\Info.hta
C:\Users\Администратор\AppData\Roaming\Info.hta

C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
C:\Users\Public\Desktop\FILES ENCRYPTED.txt
C:\ProgramData\Desktop\FILES ENCRYPTED.txt
C:\FILES ENCRYPTED.txt

 

 

3. С помощью редактора реестра удалите в ветке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run параметры

Цитата

1C_BIT~1.EXE
C:\Windows\System32\Info.hta
C:\Users\Администратор\AppData\Roaming\Info.hta

 

С расшифровкой помочь не сможем.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Игорь_Белов
      Шифровальщик AES
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
    • __Михаил__
      Шифровальщик IxehUe8Rg
      Автор __Михаил__
      Добрый! 
      Пожалуйста, помогите расшифровать файлы на компьютере.
      Шифровальщик IxehUe8Rg.
      Файлы образцы и требование выкупа во вложении.
      Анализ_2.xlsx.rar
       
      Я так понимаю это CriptomanGizmo и с ним проблема.
      У меня есть несколько копий файлов не зашифрованных , с другого устройства.
      Может это поможет?
    • Stanislav42
      шифровальщик .Elons
      Автор Stanislav42
      Добрый день! Пострадало несколько windows-устройств от действий шифровальщика и вымогает за расшифровку деньги.
      Прошу оказать помощь в расшифровке файлов.
      Отправляю архив с образцами файлов и с текстом требований, а также логи FRST.
      Шифрование произошло в ночное время. Журнал событий Windows очищен. Устройства перезагружались.
      Системы изолированы на данный момент. Исполняемый файл найден и подготовлен к отправке. 
      образцы файлов.zip Addition.txt FRST.txt
    • foroven
      Шифровальщик @FEAR.PW
      Автор foroven
      Добрый день. Схватили шифровальщика. Предположительно взломали подбором пароля к RDP. В сети Logs$files.7zна компьютере с установленным антивирусом Касперского, выдал предупреждение об атаке, брутфорс на порт 3389
    • KNS
      Помогите с шифровальщиком
      Автор KNS
      Добрый день. Поймал шифровальщика, система и 99% данных восстановлены из бэкапа.
      Не хватает нескольких файлов.

      Помогите с расшифровкой.

      Прикрепляю пример зашифрованного файла и записку о выкупе.

      Заранее благодарю!
      123.zip
×
×
  • Создать...