Перейти к содержанию

Шифровальщик MrJeck@Cock.li помогите с расшифровкой есть папка (на дедик) в ней файлы как я понимаю для шифровки

cybase
 Поделиться

Рекомендуемые сообщения

cybase

cybase

Опубликовано
  • Автор
Опубликовано

Добрый день после перезагрузки компьютера все файлы зашифрованы, есть еще папка "на дедик" в которой файлы создающие учетную запись и тд(папка в архиве 1 вместе с зашифрованным файлом), прилагаю логи сканирования. Очень нужна помощь так как копии файлов на другом пк тоже зашифрованы.

1.rar Addition.txt FRST.txt

thyrex

thyrex

Опубликовано
Опубликовано
Цитата

Administrator (S-1-5-21-3019861478-2420880730-3075451242-500 - Administrator - Enabled)
Manager2 (S-1-5-21-3019861478-2420880730-3075451242-1031 - Administrator - Enabled) => C:\Users\Manager2
Nat (S-1-5-21-3019861478-2420880730-3075451242-1024 - Administrator - Enabled)
System32 (S-1-5-21-3019861478-2420880730-3075451242-1050 - Administrator - Enabled)

не многовато пользователей с правами администратора? Они все Вам известны?

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
S1 rlvafyop; \??\C:\Windows\system32\drivers\rlvafyop.sys [X]
S1 rxlsfegg; \??\C:\Windows\system32\drivers\rxlsfegg.sys [X]
S1 zgcektdl; \??\C:\Windows\system32\drivers\zgcektdl.sys [X]
S2 qadswdg; C:\Windows\Inf\storagevservicedbs\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 strwerd; C:\Windows\Inf\storagevservicedbs\000D\1049\5.0\SQL\lsm.exe [X]
S2 wmsvinsdbvmsqlsrvrms; C:\Windows\Inf\msvsqlserverdbvsm\001D\0419\0409\0409\sqldb.exe [X]
Task: {A7AE0D63-6A90-4386-A81D-D87AE7C98E89} - System32\Tasks\Microsoft\Windows\Browser\MWR => cmd.exe /c taskkill /f /im wahiver.exe /t
C:\Windows\Inf\storagevservicedbs\000D
IFEO\perfmon.exe: [Debugger] svchost.exe
IFEO\ProcessHacker.exe: [Debugger] svchost.exe
IFEO\procexp.exe: [Debugger] svchost.exe
IFEO\procexp64.exe: [Debugger] svchost.exe
IFEO\resmon.exe: [Debugger] svchost.exe
IFEO\taskmgr32.exe: [Debugger] svchost.exe
IFEO\taskmgr64.exe: [Debugger] svchost.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{D089EF6C-A998-47B0-8CD6-D204300B5839}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe => Нет файла
FirewallRules: [UDP Query User{89818595-FBD3-42C3-B282-15EE3B011548}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe => Нет файла
FirewallRules: [TCP Query User{93FD1DE2-C5E1-4656-BFCF-B69ACF5F703D}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe => Нет файла
FirewallRules: [UDP Query User{B44F897B-1E64-42D6-9666-A3F873DB33A1}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe => Нет файла
FirewallRules: [TCP Query User{85D29FC2-BE4D-4960-BA09-300F8FAFA3A7}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe => Нет файла
FirewallRules: [UDP Query User{01884D5F-6B16-4797-8726-92AFA26A5FC0}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe => Нет файла
FirewallRules: [TCP Query User{A70AEEED-579F-4F09-81DA-A94B87274D06}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe => Нет файла
FirewallRules: [UDP Query User{EBC08CFE-874B-4DEF-9A5C-76FCF35F0C6B}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe => Нет файла
FirewallRules: [TCP Query User{B4571EE2-A190-4BF5-A51E-D894F948D9B2}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe => Нет файла
FirewallRules: [UDP Query User{87637780-7EC9-4E2A-9A00-27A0DB6F0735}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe => Нет файла
FirewallRules: [TCP Query User{8768FB3A-C338-4F5C-A633-5FDEA216BE42}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe => Нет файла
FirewallRules: [UDP Query User{4BD54B55-D19E-48DB-96AF-C9929142202D}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe => Нет файла
FirewallRules: [TCP Query User{E9CA514C-C063-4863-9DED-BA839CAE1865}C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe] => (Allow) C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe => Нет файла
FirewallRules: [UDP Query User{54581913-902C-4CA6-BF28-244CFFCD652A}C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe] => (Allow) C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe => Нет файла
FirewallRules: [{EFAE1398-5740-4668-8731-EB41C7F211B9}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC)
FirewallRules: [TCP Query User{D1E78E6A-FD68-4F4C-BEC2-96576372998B}C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe] => (Block) C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe => Нет файла
FirewallRules: [UDP Query User{CE307372-9695-4E65-92F9-E8EDEE71E04F}C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe] => (Block) C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe => Нет файла
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

cybase

cybase

Опубликовано
  • Автор
Опубликовано

Fixlog.txt

Только что, thyrex сказал:

Manager2 (S-1-5-21-3019861478-2420880730-3075451242-1031 - Administrator - Enabled) => C:\Users\Manager2 -это не админ
Nat (S-1-5-21-3019861478-2420880730-3075451242-1024 - Administrator - Enabled) это не админ
System32 (S-1-5-21-3019861478-2420880730-3075451242-1050 - Administrator - Enabled) а этот пользователь создан файлами из папки дедик

 

thyrex

thyrex

Опубликовано
Опубликовано

Первые два - это пользователи с правами Администратора, а пользователя System32 удалите.

 

По поводу расшифровки: похоже на GlobeImposter 2. С расшифровкой помочь не сможем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Шиловский
      Шифровальщик; *.putin; Conti(Meow)?
      Автор Шиловский
      Добрый день.
       
      Система загружается. Файлы зашифрованы. Шифровальщик не детектируется. Во вложении логи FRST(FRST_logs.zip) и два семпла с запиской(Samples.zip).
       
      Помогите, пожалуйста.
      FRST_logs.zip Samples.zip
    • Study
      Шифровальщик M0rphine
      Автор Study
      Здравствуйте! Обращаюсь по не совсем рекомендуемой форме. Войти в систему под админом не удалось - изменена учетка администратора домена. Подключили диск к другой системе. 
      На сервере 2003 оказались зашифрованы файлы. Предположительно, было проникновение по RDP и шифровальщик запущен вручную.
      В корне C: обнаружен файл mor.exe, расширения зашифрованных файлов - .M0rphine.
      В прикрепленных файлах скрины сообщения, образец зашифрованного файла и файл HTML приложения(переименован), которое запускает сообщение (в архиве).
      Пока никакой информации по этому шифровальщику в инете не нашел.
      Надеюсь на вашу помощь. Спасибо.


      files.zip
    • chirkov@szte.ru
      Поймали шифровальщика
      Автор chirkov@szte.ru
      Добрый день.
       
      Поймали вирус-шифровальщик, зашифровал все файлы, кроме системных.
      Возможно отработал от имени какой-то доменной учетки.
      Файл с логами во вложении.
      CollectionLog-2020.03.24-16.17.zip
    • Andrew.4.4
      Помощь в расшифровке файлов
      Автор Andrew.4.4
      У организации, которой я помогаю время от времени на сервер проникли злоумышленники и зашифровали файлы. Необходимости в очистке системы нет, так как зараженная ОС была снесена. ID Ransomware определил, как семейство Globe, но брут ключа по паре файлов решениями от Emsisoft не принёс результата. Пару зашифрованный-оригинал прикрепляю. Записки от вымогателей также не осталось. Буду благодарен за любую помощь.
      andrew.4.4.zip
    • Edison77
      зашифрованные фото
      Автор Edison77
      суть проблемы в следующем,дочка занесла вирус на комп,а он был связон с облаком на котором хранились все фотки и видео.вообщем комп почистили и винду переустановили,но как восстановить фотки с облака?Программы дешифровальщики не помогли! Но повезло- есть зашифрованное фото и его начальное !!!! прилагаю 2 файла и жду каких либо советов,извините если не тут обращаюсь,просто хочется верить в наших програмистов!   Ошибка Вы не можете загружать файлы подобного типа    Ребята а закодированный файл не грузится?????как быть

×
×
  • Создать...