Перейти к содержанию

шифровальщик paybackformistake@qq.com

jankas
 Поделиться

Рекомендуемые сообщения

jankas

jankas

Опубликовано
Опубликовано (изменено)

на сервере расшариные папки и в этих папках все зашифровано. в основном картинки. В других папках и дисках вроде все норма только везде файл how_to_decrypt.hta

FRST запускал на сервере. Подозрение что вирус схватили компьютеры в сети, а эти папки были подключены как сетевые диски.

 

2.rar Addition.txt FRST.txt

Изменено пользователем jankas
добавил вложение
jankas

jankas

Опубликовано
  • Автор
Опубликовано

сможете помочь в очистке системы от его следов? какие еще рекомендации чтоб через месяц опять не прилетело. Спасибо

thyrex

thyrex

Опубликовано
Опубликовано
Цитата

Администратор (S-1-5-21-4013951740-3160013732-2958741134-500 - Administrator - Enabled)

а почему встроенный Администратор даже не отключен?

 

Пароль от RDP смените на более сложный. Потому как доступ к компьютеру с этим шифровальщиком получают после него. Шифровали Вас под учеткой USER-1.

 

Зачем Вам столько утилит удаленного доступа: AnyDesk, Radmin, TeamViewer?

 

MediaGet удалите через Установку программ.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-21-1866048529-1479512438-1126473740-1186\...\Run: [E30D09FC-CD77FA34hta] => D:\Users\USER-1\AppData\Local\Temp\4\how_to_decrypt.hta [1792 2021-11-23] () [Файл не подписан] <==== ВНИМАНИЕ
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\Downloads\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\Documents\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\Desktop\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Roaming\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\LocalLow\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Local\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\Public\how_to_decrypt.hta
2021-11-23 18:55 - 2021-11-23 19:00 - 000000851 _____ D:\Users\USER-1\Desktop\ClearLock.ini[paybackformistake@qq.com].[E30D09FC-CD77FA34]
FirewallRules: [{286F190E-5265-470A-9637-EC9814752E8F}] => (Allow) C:\Programs\LiteManager\ROMServer.exe => Нет файла
FirewallRules: [{9BE85269-4D7C-44C3-A81B-F30D1EC20629}] => (Allow) C:\Programs\LiteManager\ROMServer.exe => Нет файла
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
     
jankas

jankas

Опубликовано
  • Автор
Опубликовано
11 часов назад, thyrex сказал:

а почему встроенный Администратор даже не отключен?

 

Пароль от RDP смените на более сложный. Потому как доступ к компьютеру с этим шифровальщиком получают после него. Шифровали Вас под учеткой USER-1.

 

Зачем Вам столько утилит удаленного доступа: AnyDesk, Radmin, TeamViewer?

 

MediaGet удалите через Установку программ.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 


Start::
CreateRestorePoint:
HKU\S-1-5-21-1866048529-1479512438-1126473740-1186\...\Run: [E30D09FC-CD77FA34hta] => D:\Users\USER-1\AppData\Local\Temp\4\how_to_decrypt.hta [1792 2021-11-23] () [Файл не подписан] <==== ВНИМАНИЕ
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\Downloads\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\Documents\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\Desktop\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Roaming\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\LocalLow\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Local\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\Public\how_to_decrypt.hta
2021-11-23 18:55 - 2021-11-23 19:00 - 000000851 _____ D:\Users\USER-1\Desktop\ClearLock.ini[paybackformistake@qq.com].[E30D09FC-CD77FA34]
FirewallRules: [{286F190E-5265-470A-9637-EC9814752E8F}] => (Allow) C:\Programs\LiteManager\ROMServer.exe => Нет файла
FirewallRules: [{9BE85269-4D7C-44C3-A81B-F30D1EC20629}] => (Allow) C:\Programs\LiteManager\ROMServer.exe => Нет файла
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
     

Достался недавно сервер по наследству.

сделал.

Fixlog.txt

jankas

jankas

Опубликовано
  • Автор
Опубликовано

каким антивирусом или утилитами прогнать компьютеры в сети? куда делся сам вирус ?

thyrex

thyrex

Опубликовано
Опубликовано

Он самоудаляется, как и большинство других шифровальщиков. Тем более, даже имея его, расшифровки не будет.

jankas

jankas

Опубликовано
  • Автор
Опубликовано

да на расшифровку я уже забил , просто чтоб следующий раз не вылез

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lord2454
      Шифровальщик enkacrypt
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
    • Drozdovanton
      Помогите расшифровать данные cry lock
      Автор Drozdovanton
      Помогите пожалуйста расшифровать данные, прикрепить данные не могу так как ограничение по расширению файлов
    • ernesto93
      Взломали RDP Сервер
      Автор ernesto93
      подобрали пароль к учетке у которой права Администратора отключили KES запароленый (KES был установлен на зараженную машину Сам виноват).
      4.jpg[paybackformistake@qq.com].zip 123123123.txt[paybackformistake@qq.com].zip
    • gnm82
      Шифровальщик extremessd@onionmail.org
      Автор gnm82
      Здравствуйте. Такая же проблема, но нашелся батник и исполняемые файлы шифровальщика, могут ли они помочь в расшифровке?
      crylock.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...