Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус шифровальшик secure[greenreed007@qq.com]

zet_9
 Поделиться

Рекомендуемые сообщения

zet_9 Новичок

zet_9

Опубликовано
Опубликовано

Здравствуйте!

Сегодня обнаружили, что все документы (а их очень много) не открываются и все файлы имеют вид ....doc.secure[greenreed007@qq.com] или ...xls.secure[greenreed007@qq.com]

Помогите, пожалуйста, расшифровать файлы, какие надо произвести действия?

И что еще нужно сделать, чтобы убедится что вирус удален?

Ссылка на комментарий
Поделиться на другие сайты
zet_9 Новичок

zet_9

Опубликовано
  • Автор
Опубликовано

Руководство не может определиться, пробовать восстанавливать информацию с вашей помощью (переживают за конфиденциальность информации) или переустановить систему.

Как определяться, сообщу.

Спасибо за оперативное реагирование.

Ссылка на комментарий
Поделиться на другие сайты
zet_9 Новичок

zet_9

Опубликовано
  • Автор
Опубликовано
13.08.2021 в 12:18, Sandor сказал:

Здравствуйте!

 

Порядок оформления запроса о помощи

Файлы прикрепите в этой теме следующим сообщением.

Здравствуйте! Во вложении файлы лога Farbar Recovery Scan Tool и архив с 2 зашифрованными файлами 

Files.rar Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

К сожалению, расшифровки этой версии нет.

Пересмотрите список пользователей этой системы, всем ли нужны права администратора и смените пароли на RDP.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\...\RunOnce: [34e844f5-f3b4-4d17-b260-e444e4483c14] => "C:\Users\User\AppData\Local\Temp\{796bb98d-2a73-4cbd-abc0-a54fb1bdbcd1}\34e844f5-f3b4-4d17-b260-e444e4483c14.cmd" <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1532739180-1401711376-3248915608-1001\...\MountPoints2: {0bd77dd0-6880-11e9-a16a-806e6f6e6963} - "G:\MInstAll\MInst.exe" 
HKU\S-1-5-21-1532739180-1401711376-3248915608-1001\...\MountPoints2: {0bd77dd1-6880-11e9-a16a-806e6f6e6963} - "E:\autorun.exe" 
HKU\S-1-5-21-1532739180-1401711376-3248915608-1002\...\MountPoints2: {0bd77dd0-6880-11e9-a16a-806e6f6e6963} - "G:\MInstAll\MInst.exe" 
HKU\S-1-5-21-1532739180-1401711376-3248915608-1002\...\MountPoints2: {0bd77dd1-6880-11e9-a16a-806e6f6e6963} - "E:\autorun.exe" 
HKU\S-1-5-21-1532739180-1401711376-3248915608-1007\...\MountPoints2: {0bd77dd1-6880-11e9-a16a-806e6f6e6963} - "E:\autorun.exe" 
ShortcutTarget: mystartup.lnk -> C:\Users\User\AppData\Local\Temp\RESTORE_FILES_INFO.txt (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ablpcikjmhamjanpibkccdmpoekjigja
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpegcopcfajiiibidlaelhjjblpefbjk
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\geidjeefddhgefeplhdlegoldlgiodon
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ablpcikjmhamjanpibkccdmpoekjigja
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\cpegcopcfajiiibidlaelhjjblpefbjk
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\geidjeefddhgefeplhdlegoldlgiodon
CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja]
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon]
FirewallRules: [{BFAAB968-6888-49C8-B7CA-B1470F786A09}] => (Allow) LPort=475
FirewallRules: [{A878475B-C570-4D35-A518-6DF356A187AB}] => (Allow) LPort=475
FirewallRules: [{45D1785F-8764-4741-B0FD-4983BC000173}] => (Allow) LPort=3389
FirewallRules: [{04905F28-FE46-44FC-A0C5-6BB8BC4C20FB}] => (Allow) LPort=5357
FirewallRules: [{D832E453-939E-4751-A5EA-60083FA9BF45}] => (Allow) LPort=9422
FirewallRules: [{7C8B4208-831C-493D-910A-F9C3748CAB9B}] => (Allow) LPort=9245
FirewallRules: [{C60B5333-DAB9-48A1-A398-3003607A4E8F}] => (Allow) LPort=9246
FirewallRules: [{F54CBD1C-34E4-4AAD-AFF0-D187B2D27E31}] => (Allow) LPort=9247
FirewallRules: [{0CCC9E27-6911-481B-9955-303BCE3E1718}] => (Allow) LPort=3702
FirewallRules: [{BAED90FF-5ED9-4B53-8319-093990B01E88}] => (Allow) LPort=9244
FirewallRules: [{084DF9EE-3AA1-4767-8FC7-490FFF921C1F}] => (Allow) LPort=9444
FirewallRules: [{058C3573-7093-475E-9478-E47499251C20}] => (Allow) LPort=9422
FirewallRules: [{2CB0485E-E344-4359-9864-8B9D94F2ADA4}] => (Allow) LPort=9245
FirewallRules: [{B416AB23-1E4F-4BD0-9691-C07FDC233AC7}] => (Allow) LPort=9246
FirewallRules: [{B1BD9733-0DD0-47D9-85BC-E2160946BD9F}] => (Allow) LPort=9247
FirewallRules: [{9523A65B-DDF1-428E-B131-B8999AB7695D}] => (Allow) C:\Users\User1\AppData\Local\Temp\7zS2EB8\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{D8C24BF0-4BE9-4E00-9BF0-711864688D56}] => (Allow) C:\Users\User1\AppData\Local\Temp\7zS2EB8\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{EBA0F193-BADD-456C-9007-93F98E728707}] => (Allow) C:\Users\User1\AppData\Local\Temp\7zS5052\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{D577F526-BA49-447B-98D7-9DC18F861A17}] => (Allow) C:\Users\User1\AppData\Local\Temp\7zS5052\HPDiagnosticCoreUI.exe => Нет файла
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
zet_9 Новичок

zet_9

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

У нас был выключен экран приветствия при загрузки Windows и после выполнения Кода перестал работать RDP. Остались без доступа к системе. 

Надо сказать, что система уже давно работала нестабильно.

Не смотря на то, что были сделаны точки восстановления, система их не видела и не удалось ее восстановить ни диском восстановления (MSDaRT) ни правкой реестра ни другими средствами. 

В итоге перенесли файлы на другой компьютер, а этот переустановили(так даже лучше).

Жалко, что не удалось восстановить файлы после шифровальщика.

Спасибо за оперативное реагирование и предложенную помощь.

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
5 минут назад, zet_9 сказал:

перестал работать RDP. Остались без доступа к системе

Всем известный порт 3389 (в том числе и злоумышленникам) нужно прятать за VPN.

 

Для проверки уязвимых мест и устаревшего критического ПО используйте SecurityCheck by glax24 & Severnyj

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Anivas
      Kaspersky Secure Connection не подключается к серверам
      Автор Anivas
      Доброго времени суток.
       
      Перестал подключатся Kaspersky Secure Connection к серверам через мобильны интернет. Выдает ошибку (скрин ниже). Подскажите, пожалуйста, что сделать.

    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Mason19
      Kaspersky Secure Connection принудительное обновление
      Автор Mason19
      Добрый день, на ноутбуке приложение обновилось, появился "игровой режим" и "просмотр онлайн-кинотеатров", как обновить приложение на основном ПК?
×
×
  • Создать...