voidcrypt Поймал шифровальщика [zomiter@gmail.com][MJ-IS1804235967].RTX

[wadmin]

Заражение шифровальщиком.
Добрый день, были зашифрованы почти все файлы на одном из сетевых ресурсов.
Файл шифровальщик с помощью Kaspersky Virus Removal Tool обнаружить не удалось.
 

Addition.txt FRST.txt Desktop.zip

[Sandor]

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read-this.txt [2021-10-04] () [Файл не подписан]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svch.exe [2021-10-04] () [Файл не подписан]
  C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svch.exe
  2021-10-04 17:10 - 2021-10-04 17:10 - 000000495 _____ C:\Windows\SysWOW64\Drivers\Read-this.txt
  2021-10-04 17:06 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Read-this.txt
  2021-10-04 17:06 - 2021-10-04 17:06 - 000000495 _____ C:\Windows\Tasks\Read-this.txt
  2021-10-04 17:06 - 2021-10-04 17:06 - 000000495 _____ C:\Windows\SysWOW64\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\Downloads\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\Documents\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\Desktop\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\AppData\Roaming\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\AppData\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\AppData\LocalLow\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\AppData\Local\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\Public\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\Public\Downloads\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\Public\Documents\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 17:06 - 000000495 _____ C:\Users\Public\Desktop\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 17:06 - 000000495 _____ C:\ProgramData\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 17:06 - 000000495 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 17:06 - 000000495 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 17:05 - 000000495 _____ C:\Windows\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 17:05 - 000000495 _____ C:\Users\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 17:05 - 000000495 _____ C:\Program Files\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 17:05 - 000000495 _____ C:\Program Files\Common Files\Read-this.txt
  2021-10-04 17:05 - 2021-10-04 17:05 - 000000495 _____ C:\Program Files (x86)\Read-this.txt
  2021-10-04 16:34 - 2021-10-04 16:45 - 000000039 _____ C:\Windows\directx.sys
  2021-10-04 16:34 - 2021-10-04 16:34 - 000041472 _____ C:\Windows\svchost.com
  FirewallRules: [{A6A79FF7-0CB4-4B7A-8099-446E077B2A97}] => (Allow) C:\Users\user\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
  Zip: c:\FRST\Quarantine\
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
 

 

В системе три администратора. Оставьте одного и смените пароль.

Изменено 5 октября, 2021 пользователем Sandor

[wadmin]

Добрый день. Файл отправил

Fixlog.txt

[Sandor]

Если не планируете переустановить систему, проделайте следующее:

 

1. 

Выполните процедуру, описанную на этой странице.
Ссылку на результат анализа приведите здесь, пожалуйста.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[wadmin]

Систему буду сносить, на виртуалке крутилась. Как я понял расшифровать файлы не предоставляется возможным?

[Sandor]

Верно.

[wadmin]

Спасибо за помощь.