Перейти к содержанию

Поймал шифровальщика [zomiter@gmail.com][MJ-IS1804235967].RTX


Рекомендуемые сообщения

Заражение шифровальщиком.
Добрый день, были зашифрованы почти все файлы на одном из сетевых ресурсов.
Файл шифровальщик с помощью Kaspersky Virus Removal Tool обнаружить не удалось.
 

Addition.txt FRST.txt Desktop.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read-this.txt [2021-10-04] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svch.exe [2021-10-04] () [Файл не подписан]
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svch.exe
    2021-10-04 17:10 - 2021-10-04 17:10 - 000000495 _____ C:\Windows\SysWOW64\Drivers\Read-this.txt
    2021-10-04 17:06 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Read-this.txt
    2021-10-04 17:06 - 2021-10-04 17:06 - 000000495 _____ C:\Windows\Tasks\Read-this.txt
    2021-10-04 17:06 - 2021-10-04 17:06 - 000000495 _____ C:\Windows\SysWOW64\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\Downloads\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\Documents\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\Desktop\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\AppData\Roaming\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\AppData\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\AppData\LocalLow\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\user\AppData\Local\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\Public\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\Public\Downloads\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 20:07 - 000000495 _____ C:\Users\Public\Documents\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 17:06 - 000000495 _____ C:\Users\Public\Desktop\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 17:06 - 000000495 _____ C:\ProgramData\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 17:06 - 000000495 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 17:06 - 000000495 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 17:05 - 000000495 _____ C:\Windows\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 17:05 - 000000495 _____ C:\Users\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 17:05 - 000000495 _____ C:\Program Files\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 17:05 - 000000495 _____ C:\Program Files\Common Files\Read-this.txt
    2021-10-04 17:05 - 2021-10-04 17:05 - 000000495 _____ C:\Program Files (x86)\Read-this.txt
    2021-10-04 16:34 - 2021-10-04 16:45 - 000000039 _____ C:\Windows\directx.sys
    2021-10-04 16:34 - 2021-10-04 16:34 - 000041472 _____ C:\Windows\svchost.com
    FirewallRules: [{A6A79FF7-0CB4-4B7A-8099-446E077B2A97}] => (Allow) C:\Users\user\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
    Zip: c:\FRST\Quarantine\
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
 

 

В системе три администратора. Оставьте одного и смените пароль.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Если не планируете переустановить систему, проделайте следующее:

 

1. 

Выполните процедуру, описанную на этой странице.
Ссылку на результат анализа приведите здесь, пожалуйста.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • I_CaR
      От I_CaR
      Здравствуйте.
      27.11.2023 была атака на сеть предприятия по RDP(зашли по 3389 порту на ПК администратора системы). Далее, через ПК администратора, были также по RDP заражены ещё 2 сервера предприятия.
      Вложения:
      "unlock-info.txt" - письмо от мошенников. Вирус немного похож на ouroboros (Так его детектировал Eset).
      Внутри архива сам вирус-шифрователь *.exe (пароль к архиву 12345).
      ---
      Заранее благодарен за внимание к проблеме.
      Очень надеюсь на положительный результат.
      unlock-info.txt filescoder@gmail.com(пароль_на_архив_12345).rar
    • Apdate2018
      От Apdate2018
      День добрый! зашифровали сервер 
       
      расширение файлов тепреь .[CW-NA0835962147].(spystar1@onionmail.com).Rar 
       
      но, я на шел на сервере  файла в каталоге ProgramData
       
      pkey.txt
      IDk.txt
      RSAKEY.KEY
      а так же файл prvkey.txt..[CW-NA0835962147].(spystar1@onionmail.com).Rar 
       
      не знаю можно ли распространять эти файлы поэтому их не прилагаю да и побаиваюсь я втыкать в тот комп свою флешку 
       
      в общем есть ли возможность восстановления?

      есть так же файл оригинал большого размера и файл точно такой ж ено зашифрованный
       
      поможете?
    • Дмитрий Казакевич
      От Дмитрий Казакевич
      Во вложении есть ключ присланный шифровальщиками
      Вірус.rar Addition.txt FRST.txt
    • Dimon77
      От Dimon77
      Все общие папки на сервере+ все папки ползователей на терминальнике.
       
      unlock-info.txt BAD.zip
    • mr.dwz
      От mr.dwz
      Добрый день! Шифровальщик зашифровал файлы на компьютере, в том числе и рабочие базы данных от ПО и 1С.
      Расширение у зашифрованных файлов (encoderdecryption@gmail.com).RYKCRYPT
       
      В автозагрузке находится encoderdecryption@gmail.com.exe
       
      Также в ProgramData созданы файлы IDk.txt, pkey.txt, RSAKEY.key
       
      Приложил логи FRST,
      В архиве rykcrypt_files лежат зашифрованные файлы, а также текстовые файлы из ProgramData(Idk.txt, pket.txt, RSAKEY.key)
      В архиве encoderdecryption@gmail.com.zip, лежит exe файл из автозагрузки (пароль virus)
       
      FRST.txt Addition.txt rykcrypt_files.zip encoderdecryption@gmail.com.zip
×
×
  • Создать...