Перейти к содержанию

Подвергся атаке трояна [James2020m@aol.com].MUST


Рекомендуемые сообщения

Вчера немного похозяйничал троян. Зашифровал файлы. Зашифрованные образцы прикрепил.
Прикрепил логи от Farbar Recovery Scan Tool. Прошу посмотреть, есть ли последствия для системы.
Сами трояны лежат в карантине другого антивируса(не будем пиарить конкурентов). Если расскажите как безопасно их достать, скину.

зашифрованные файлы.rar Логи.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки этого типа вымогателя нет, увы.

Помощь в очистке системы от его следов нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты
12 минут назад, Sandor сказал:

Здравствуйте!

 

Расшифровки этого типа вымогателя нет, увы.

Помощь в очистке системы от его следов нужна или планируете переустановку?

Переустанавливать не хочется. Слишком много настраивать. 
Помощь в очистке очистке нужна.

Ссылка на сообщение
Поделиться на другие сайты

Четыре пользователя обладают правами администратора. Многовато.

Смените пароли на учетки и на RDP.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    Startup: C:\Users\GlBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-10-26] () [Файл не подписан]
    HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ВНИМАНИЕ (Ограничение - Zones)
    2021-10-26 17:46 - 2021-10-26 17:46 - 000007216 _____ C:\Users\GlBuh\AppData\Roaming\Info.hta
    2021-10-26 17:46 - 2021-10-26 17:46 - 000000214 _____ C:\Users\GlBuh\Desktop\FILES ENCRYPTED.txt
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Sandor сказал:

Четыре пользователя обладают правами администратора. Многовато.

Смените пароли на учетки и на RDP.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    Start::
    SystemRestore: On
    CreateRestorePoint:
    Startup: C:\Users\GlBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-10-26] () [Файл не подписан]
    HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ВНИМАНИЕ (Ограничение - Zones)
    2021-10-26 17:46 - 2021-10-26 17:46 - 000007216 _____ C:\Users\GlBuh\AppData\Roaming\Info.hta
    2021-10-26 17:46 - 2021-10-26 17:46 - 000000214 _____ C:\Users\GlBuh\Desktop\FILES ENCRYPTED.txt
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Этот код нужно вставить в FRST? 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • tretyakovi4
      От tretyakovi4
      Всем привет.

      Сегодня обнаружили, что все файлы зашифрованы и имеют следующие расширение: .id-E8DCBEFA.[strongwind@cock.lu].ROGER

      Архив с файлами FRST.txt и Addition.txt
       
      Буду рад любой информации. 
      Заранее спасибо.
      info.rar
    • JonAirs
      От JonAirs
      Поймали шифровальщик, требуется помощь в определении типо шифровальщика и возможность дешифровки
      Тест Инструкции:
      Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать!
      Мы все расшифруем и вернем на свои места.
      Для расшифровки данных:
      Напишите на почту - cyber@outlookpro.net
       
       *В письме указать Ваш личный идентификатор (Key Identifier)
       *Прикрепите 2 файла до 2 мб для тестовой расшифровки.
        мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.
       -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
       -Написав нам на почту вы получите дальнейшие инструкции по оплате.
      В ответном письме Вы получите программу для расшифровки.
      После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
      Мы гарантируем:
      100% успешное восстановление всех ваших файлов
      100% гарантию соответствия
      100% безопасный и надежный сервис
      Внимание!
       * Не пытайтесь удалить программу или запускать антивирусные средства
       * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
       * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
      уникальный ключ шифрования

      Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.
      Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)

      P.S
      Если Вам не ответили в течении 48 часов. Вам нужно будет связаться с нами по дополнительным контактам.
      Скачайте и установите Tor Browser - https://www.torproject.org/ru/download/
      Откройте через Tor Browser сайт - http://sonarmsng5vzwqezlvtu2iiwwdn3dxkhotftikhowpfjuzg7p3ca5eid.onion (сайт не будет работать через обычный браузер, только через ТОР)
      Зарегистрируйтесь и напишите нам.
      *Наш ник в Sonar'e - savefile365
       
      KEYID:
      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
       
       
      Инструкция.txt 15-11-2021_19-06-38.rar
    • Alex112
      От Alex112
      Добрый день.
      Поймали вирус шифровальщик, к расширениям документов добавлено .xot5ik
      Прошу помочь в решении данной проблемы.
      Прикрепляю зашифрованные файлы, файл инструкции и возможно сам вирус.
      Вирус.7z
    • relax
      От relax
      Доброго времени суток. Не поможете с той же бедой возможно что то сделать? В приложении 3 зашифрованных файла и + сам файл вымогатель. Отчёты которые должны быть в запросе пытаемся сделать, но ещё идёт полная проверка, результаты быстрой так же в приложении в отдельном файле, может сможете помочь. Заранее спасибо!
       
      KEYID: 
      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
       
      Сообщение от модератора SQ Перенесено с данного топика. Пожалуйста не пишите в чужих темах.  

      Инструкция.txt Desktop.rar
    • jankas
      От jankas
      на сервере расшариные папки и в этих папках все зашифровано. в основном картинки. В других папках и дисках вроде все норма только везде файл how_to_decrypt.hta
      FRST запускал на сервере. Подозрение что вирус схватили компьютеры в сети, а эти папки были подключены как сетевые диски.
       
      2.rar Addition.txt FRST.txt
×
×
  • Создать...