Перейти к содержанию
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

Вирус шифровальшик secure[greenreed007@qq.com]

zet_9
 Поделиться

Рекомендуемые сообщения

zet_9 Новичок

zet_9

Опубликовано
Опубликовано

Здравствуйте!

Сегодня обнаружили, что все документы (а их очень много) не открываются и все файлы имеют вид ....doc.secure[greenreed007@qq.com] или ...xls.secure[greenreed007@qq.com]

Помогите, пожалуйста, расшифровать файлы, какие надо произвести действия?

И что еще нужно сделать, чтобы убедится что вирус удален?

Ссылка на комментарий
Поделиться на другие сайты
zet_9 Новичок

zet_9

Опубликовано
  • Автор
Опубликовано

Руководство не может определиться, пробовать восстанавливать информацию с вашей помощью (переживают за конфиденциальность информации) или переустановить систему.

Как определяться, сообщу.

Спасибо за оперативное реагирование.

Ссылка на комментарий
Поделиться на другие сайты
zet_9 Новичок

zet_9

Опубликовано
  • Автор
Опубликовано
13.08.2021 в 12:18, Sandor сказал:

Здравствуйте!

 

Порядок оформления запроса о помощи

Файлы прикрепите в этой теме следующим сообщением.

Здравствуйте! Во вложении файлы лога Farbar Recovery Scan Tool и архив с 2 зашифрованными файлами 

Files.rar Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

К сожалению, расшифровки этой версии нет.

Пересмотрите список пользователей этой системы, всем ли нужны права администратора и смените пароли на RDP.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\...\RunOnce: [34e844f5-f3b4-4d17-b260-e444e4483c14] => "C:\Users\User\AppData\Local\Temp\{796bb98d-2a73-4cbd-abc0-a54fb1bdbcd1}\34e844f5-f3b4-4d17-b260-e444e4483c14.cmd" <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1532739180-1401711376-3248915608-1001\...\MountPoints2: {0bd77dd0-6880-11e9-a16a-806e6f6e6963} - "G:\MInstAll\MInst.exe" 
HKU\S-1-5-21-1532739180-1401711376-3248915608-1001\...\MountPoints2: {0bd77dd1-6880-11e9-a16a-806e6f6e6963} - "E:\autorun.exe" 
HKU\S-1-5-21-1532739180-1401711376-3248915608-1002\...\MountPoints2: {0bd77dd0-6880-11e9-a16a-806e6f6e6963} - "G:\MInstAll\MInst.exe" 
HKU\S-1-5-21-1532739180-1401711376-3248915608-1002\...\MountPoints2: {0bd77dd1-6880-11e9-a16a-806e6f6e6963} - "E:\autorun.exe" 
HKU\S-1-5-21-1532739180-1401711376-3248915608-1007\...\MountPoints2: {0bd77dd1-6880-11e9-a16a-806e6f6e6963} - "E:\autorun.exe" 
ShortcutTarget: mystartup.lnk -> C:\Users\User\AppData\Local\Temp\RESTORE_FILES_INFO.txt (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ablpcikjmhamjanpibkccdmpoekjigja
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpegcopcfajiiibidlaelhjjblpefbjk
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\geidjeefddhgefeplhdlegoldlgiodon
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ablpcikjmhamjanpibkccdmpoekjigja
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\cpegcopcfajiiibidlaelhjjblpefbjk
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\geidjeefddhgefeplhdlegoldlgiodon
CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja]
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon]
FirewallRules: [{BFAAB968-6888-49C8-B7CA-B1470F786A09}] => (Allow) LPort=475
FirewallRules: [{A878475B-C570-4D35-A518-6DF356A187AB}] => (Allow) LPort=475
FirewallRules: [{45D1785F-8764-4741-B0FD-4983BC000173}] => (Allow) LPort=3389
FirewallRules: [{04905F28-FE46-44FC-A0C5-6BB8BC4C20FB}] => (Allow) LPort=5357
FirewallRules: [{D832E453-939E-4751-A5EA-60083FA9BF45}] => (Allow) LPort=9422
FirewallRules: [{7C8B4208-831C-493D-910A-F9C3748CAB9B}] => (Allow) LPort=9245
FirewallRules: [{C60B5333-DAB9-48A1-A398-3003607A4E8F}] => (Allow) LPort=9246
FirewallRules: [{F54CBD1C-34E4-4AAD-AFF0-D187B2D27E31}] => (Allow) LPort=9247
FirewallRules: [{0CCC9E27-6911-481B-9955-303BCE3E1718}] => (Allow) LPort=3702
FirewallRules: [{BAED90FF-5ED9-4B53-8319-093990B01E88}] => (Allow) LPort=9244
FirewallRules: [{084DF9EE-3AA1-4767-8FC7-490FFF921C1F}] => (Allow) LPort=9444
FirewallRules: [{058C3573-7093-475E-9478-E47499251C20}] => (Allow) LPort=9422
FirewallRules: [{2CB0485E-E344-4359-9864-8B9D94F2ADA4}] => (Allow) LPort=9245
FirewallRules: [{B416AB23-1E4F-4BD0-9691-C07FDC233AC7}] => (Allow) LPort=9246
FirewallRules: [{B1BD9733-0DD0-47D9-85BC-E2160946BD9F}] => (Allow) LPort=9247
FirewallRules: [{9523A65B-DDF1-428E-B131-B8999AB7695D}] => (Allow) C:\Users\User1\AppData\Local\Temp\7zS2EB8\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{D8C24BF0-4BE9-4E00-9BF0-711864688D56}] => (Allow) C:\Users\User1\AppData\Local\Temp\7zS2EB8\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{EBA0F193-BADD-456C-9007-93F98E728707}] => (Allow) C:\Users\User1\AppData\Local\Temp\7zS5052\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{D577F526-BA49-447B-98D7-9DC18F861A17}] => (Allow) C:\Users\User1\AppData\Local\Temp\7zS5052\HPDiagnosticCoreUI.exe => Нет файла
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
zet_9 Новичок

zet_9

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

У нас был выключен экран приветствия при загрузки Windows и после выполнения Кода перестал работать RDP. Остались без доступа к системе. 

Надо сказать, что система уже давно работала нестабильно.

Не смотря на то, что были сделаны точки восстановления, система их не видела и не удалось ее восстановить ни диском восстановления (MSDaRT) ни правкой реестра ни другими средствами. 

В итоге перенесли файлы на другой компьютер, а этот переустановили(так даже лучше).

Жалко, что не удалось восстановить файлы после шифровальщика.

Спасибо за оперативное реагирование и предложенную помощь.

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
5 минут назад, zet_9 сказал:

перестал работать RDP. Остались без доступа к системе

Всем известный порт 3389 (в том числе и злоумышленникам) нужно прятать за VPN.

 

Для проверки уязвимых мест и устаревшего критического ПО используйте SecurityCheck by glax24 & Severnyj

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Mason19
      Kaspersky Secure Connection принудительное обновление
      Автор Mason19
      Добрый день, на ноутбуке приложение обновилось, появился "игровой режим" и "просмотр онлайн-кинотеатров", как обновить приложение на основном ПК?
    • sergei5
      шифровальшик зашировал все данные
      Автор sergei5
      Добрый день Вирус зашифровал все данные файл с расширением  62IKGXJL  помогите восстановить. Буду вам признателен.
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • andrew75
      Настройка OpenVPN подключения в Linux Mint через сервер Kaspersky Secure Connection
      Автор andrew75
      Если у вас есть лицензия на Kaspersky Secure Connection, то вы можете настроить VPN подключение в Linux к серверу KSC.
       
      Сначала нам нужно получить файл конфигурации для подключения к OVPN-серверу.
       
      1. Заходим в свой аккаунт на My Kaspersky, идем на вкладку "Безопасное соединение" и нажимаем кнопку "Создать конфигурацию".
       
      2. Выбираем протокол OpenVPN и нажимаем "Продолжить".
       
      3. Выбираем локацию. Можно выбрать только одну. Если захотите поменять, то нужно будет пересоздать конфигурацию. При этом предыдущая будет деактивирована. То есть использовать одновременно несколько локаций нельзя.
      Нажимаем кнопку "Продолжить".
       
      4. Теперь скачиваем файл конфигурации. Он называется credentials.ovpn
      Не забываем сохранить логин и пароль для подключения. Больше их вам не покажут. Если забыли сохранить, то придется пересоздавать конфигурацию.
       
      Теперь настроим OVPN подключение c использованием этой конфигурации на Linux
      Рассмотрим на примере Linux Mint 22.1
      Весь необходимый софт уже установлен в системе по умолчанию, поэтому ничего доустанавливать не надо.
       
      1. В трее нажимаем на иконку "Менеджер сетей" и выбираем "Параметры сети".
       
      2. Добавляем новое VPN подключение.
       
      3. Выбираем "Импортировать из файла"
       
      4. Находим наш файл конфигурации (credentials.ovpn) и нажимаем "Открыть".
       
      5. На вкладке "Идентификатор" меняем при желании имя соединения (по умолчанию будет credentials), вводим сохраненные логин и пароль и нажимаем "Добавить". Никаких других настроек менять не надо.
       
      6. В результате мы создали новое соединение VPN Kaspersky.
       
      7. Идем в "Менеджер сетей" и нажимаем движок "Подключить".
       
      8. Соединение установлено.
       
      9. Проверяем. Германия, Франкфурт.
       
      Как видите, все достаточно просто.
       
      Напоминаю. Использовать можно только одну локацию. Если нужна другая, то нужно создать новую конфигурацию OVPN. При этом старая конфигурация будет деактивирована. 
    • nooky910
      Бесконечный вирус
      Автор nooky910
      Добрый день. Заметил, что при играх резкая просадка фпс началась. Лечил 2 таблетками, но безуспешно. Бесконечно создается сам. Так же был замечен xmring miner, но таблетка его вроде пыталась удалить. 


       
      CollectionLog-2025.05.24-17.36.zip
×
×
  • Создать...