Перейти к содержанию

шифровальщик paybackformistake@qq.com

jankas
 Поделиться

Рекомендуемые сообщения

jankas

jankas

Опубликовано
Опубликовано (изменено)

на сервере расшариные папки и в этих папках все зашифровано. в основном картинки. В других папках и дисках вроде все норма только везде файл how_to_decrypt.hta

FRST запускал на сервере. Подозрение что вирус схватили компьютеры в сети, а эти папки были подключены как сетевые диски.

 

2.rar Addition.txt FRST.txt

Изменено пользователем jankas
добавил вложение
jankas

jankas

Опубликовано
  • Автор
Опубликовано

сможете помочь в очистке системы от его следов? какие еще рекомендации чтоб через месяц опять не прилетело. Спасибо

thyrex

thyrex

Опубликовано
Опубликовано
Цитата

Администратор (S-1-5-21-4013951740-3160013732-2958741134-500 - Administrator - Enabled)

а почему встроенный Администратор даже не отключен?

 

Пароль от RDP смените на более сложный. Потому как доступ к компьютеру с этим шифровальщиком получают после него. Шифровали Вас под учеткой USER-1.

 

Зачем Вам столько утилит удаленного доступа: AnyDesk, Radmin, TeamViewer?

 

MediaGet удалите через Установку программ.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-21-1866048529-1479512438-1126473740-1186\...\Run: [E30D09FC-CD77FA34hta] => D:\Users\USER-1\AppData\Local\Temp\4\how_to_decrypt.hta [1792 2021-11-23] () [Файл не подписан] <==== ВНИМАНИЕ
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\Downloads\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\Documents\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\Desktop\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Roaming\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\LocalLow\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Local\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\Public\how_to_decrypt.hta
2021-11-23 18:55 - 2021-11-23 19:00 - 000000851 _____ D:\Users\USER-1\Desktop\ClearLock.ini[paybackformistake@qq.com].[E30D09FC-CD77FA34]
FirewallRules: [{286F190E-5265-470A-9637-EC9814752E8F}] => (Allow) C:\Programs\LiteManager\ROMServer.exe => Нет файла
FirewallRules: [{9BE85269-4D7C-44C3-A81B-F30D1EC20629}] => (Allow) C:\Programs\LiteManager\ROMServer.exe => Нет файла
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
     
jankas

jankas

Опубликовано
  • Автор
Опубликовано
11 часов назад, thyrex сказал:

а почему встроенный Администратор даже не отключен?

 

Пароль от RDP смените на более сложный. Потому как доступ к компьютеру с этим шифровальщиком получают после него. Шифровали Вас под учеткой USER-1.

 

Зачем Вам столько утилит удаленного доступа: AnyDesk, Radmin, TeamViewer?

 

MediaGet удалите через Установку программ.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 


Start::
CreateRestorePoint:
HKU\S-1-5-21-1866048529-1479512438-1126473740-1186\...\Run: [E30D09FC-CD77FA34hta] => D:\Users\USER-1\AppData\Local\Temp\4\how_to_decrypt.hta [1792 2021-11-23] () [Файл не подписан] <==== ВНИМАНИЕ
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\Downloads\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\Documents\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\Desktop\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Roaming\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\LocalLow\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Local\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\Public\how_to_decrypt.hta
2021-11-23 18:55 - 2021-11-23 19:00 - 000000851 _____ D:\Users\USER-1\Desktop\ClearLock.ini[paybackformistake@qq.com].[E30D09FC-CD77FA34]
FirewallRules: [{286F190E-5265-470A-9637-EC9814752E8F}] => (Allow) C:\Programs\LiteManager\ROMServer.exe => Нет файла
FirewallRules: [{9BE85269-4D7C-44C3-A81B-F30D1EC20629}] => (Allow) C:\Programs\LiteManager\ROMServer.exe => Нет файла
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
     

Достался недавно сервер по наследству.

сделал.

Fixlog.txt

jankas

jankas

Опубликовано
  • Автор
Опубликовано

каким антивирусом или утилитами прогнать компьютеры в сети? куда делся сам вирус ?

thyrex

thyrex

Опубликовано
Опубликовано

Он самоудаляется, как и большинство других шифровальщиков. Тем более, даже имея его, расшифровки не будет.

jankas

jankas

Опубликовано
  • Автор
Опубликовано

да на расшифровку я уже забил , просто чтоб следующий раз не вылез

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Daniil-b
      Шифровальщик Crylock 2.0.0.0 (fairexchange@qq.com)
      Автор Daniil-b
      День добрый!
      Как-то давно стандартно через открытый наружу rdp прилетел Crylock 2.0.0.0.
      Через часик всё подняли из бэкапов, но что-то не успело в них попасть.
      Вот, через несколько лет возникла необходимость поднять несколько старых файлов.
      Прошу помощи в расшифровке.
      Тела вируса уже нет, в каждой директории лежал файлик how_to_decrypt.hta со стандартным содержимым.
      Пара зашифрованных файлов во вложении, пароль: help .. )
       
      Спасибо!
       
      ENCRYPTED.zip
    • Эдуард Прокопенко
      [РАСШИФРОВАНО]Расшифровка шифровальщика Crylock 2.0 [honestandhope@qq.com]
      Автор Эдуард Прокопенко
      Здравствуйте! Почти 4 года назад словили шифровальщик и почти весь hdd с файлами попал под него. Просьба посмотреть, можно ли расшифровать. Скидываю пару тестовых файлов
      files.rar
      Addition.txt FRST.txt
    • Ser25
      Шифровальщик
      Автор Ser25
      Взломали пароль и зашифровали удаленный комп. Пока ничего не предпринимал
      20250507.7z
    • Пользователь 1551
      Шифровальщик
      Автор Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Thunderer
      Шифровальщик
      Автор Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
×
×
  • Создать...