Перейти к содержанию

Поймал шифровальщика [zomiter@gmail.com][MJ-IS1804235967].RTX

wadmin
 Поделиться

Рекомендуемые сообщения

wadmin

wadmin

Опубликовано
Опубликовано

Заражение шифровальщиком.
Добрый день, были зашифрованы почти все файлы на одном из сетевых ресурсов.
Файл шифровальщик с помощью Kaspersky Virus Removal Tool обнаружить не удалось.
 

Addition.txt FRST.txt Desktop.zip

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read-this.txt [2021-10-04] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svch.exe [2021-10-04] () [Файл не подписан]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svch.exe
2021-10-04 17:10 - 2021-10-04 17:10 - 000000495 _____ C:\Windows\SysWOW64\Drivers\Read-this.txt
2021-10-04 17:06 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Read-this.txt
2021-10-04 17:06 - 2021-10-04 17:06 - 000000495 _____ C:\Windows\Tasks\Read-this.txt
2021-10-04 17:06 - 2021-10-04 17:06 - 000000495 _____ C:\Windows\SysWOW64\Read-this.txt
2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\Read-this.txt
2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\Downloads\Read-this.txt
2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\Documents\Read-this.txt
2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\Desktop\Read-this.txt
2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\AppData\Roaming\Read-this.txt
2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Read-this.txt
2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\AppData\Read-this.txt
2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\AppData\LocalLow\Read-this.txt
2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\AppData\Local\Read-this.txt
2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\Public\Read-this.txt
2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\Public\Downloads\Read-this.txt
2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\Public\Documents\Read-this.txt
2021-10-04 17:05 - 2021-10-04 17:06 - 000000495 _____ C:\Users\Public\Desktop\Read-this.txt
2021-10-04 17:05 - 2021-10-04 17:06 - 000000495 _____ C:\ProgramData\Read-this.txt
2021-10-04 17:05 - 2021-10-04 17:06 - 000000495 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Read-this.txt
2021-10-04 17:05 - 2021-10-04 17:06 - 000000495 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Read-this.txt
2021-10-04 17:05 - 2021-10-04 17:05 - 000000495 _____ C:\Windows\Read-this.txt
2021-10-04 17:05 - 2021-10-04 17:05 - 000000495 _____ C:\Users\Read-this.txt
2021-10-04 17:05 - 2021-10-04 17:05 - 000000495 _____ C:\Program Files\Read-this.txt
2021-10-04 17:05 - 2021-10-04 17:05 - 000000495 _____ C:\Program Files\Common Files\Read-this.txt
2021-10-04 17:05 - 2021-10-04 17:05 - 000000495 _____ C:\Program Files (x86)\Read-this.txt
2021-10-04 16:34 - 2021-10-04 16:45 - 000000039 _____ C:\Windows\directx.sys
2021-10-04 16:34 - 2021-10-04 16:34 - 000041472 _____ C:\Windows\svchost.com
FirewallRules: [{A6A79FF7-0CB4-4B7A-8099-446E077B2A97}] => (Allow) C:\Users\user\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
Zip: c:\FRST\Quarantine\
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
 

 

В системе три администратора. Оставьте одного и смените пароль.

Изменено пользователем Sandor
Sandor

Sandor

Опубликовано
Опубликовано

Если не планируете переустановить систему, проделайте следующее:

 

1. 

Выполните процедуру, описанную на этой странице.
Ссылку на результат анализа приведите здесь, пожалуйста.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

wadmin

wadmin

Опубликовано
  • Автор
Опубликовано

Систему буду сносить, на виртуалке крутилась. Как я понял расшифровать файлы не предоставляется возможным?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • АлександрЛ.
      Поймали шифровальщик decodehop@gmail.com
      Автор АлександрЛ.
      Добрый день!
       
      Большая просьба дать инструкции и помочь с дешифровкой, если это возможно.
       
      Названия файлов такие: 20151225_173456.jpg.[MJ-RZ8234915670](decodehop@gmail.com ).hop_dec.
    • bakankovaelena
      Пойман шифровальщик [nullhexxx@gmail.com].EAE6F491
      Автор bakankovaelena
      Сегодня утром были "обрадованы". Кто такой, какой тип не знаем. Есть только письмо от вымогателя и пара незашифрованных/зашифрованных файлов. Я сама не программист и с утилитой Farbar пока не справилась, надеюсь, что завтра кто-нибудь поможет и будет более полная информация.
      Файлы с файлами прилагаю
      OLD.7z
    • freespect
      Шифровальщик m0r0kt34m@gmail.com
      Автор freespect
      Доброго времени суток!

      Столкнулся с неизвестным типом шифровальщика, антивирус его никак не обнаружил.
      Прикрепляю архив с примерами зашифрованного и оригинального файлов. К сожалению, больше информации на данный момент нету.
      Заранее спасибо!
      crypt.rar
    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • IrinaC
      Поймали шифровальщика
      Автор IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
×
×
  • Создать...