Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

[Расшифровано] Шифровальщик lovestoryforyou часть 2

Анатолий Т

Автор Анатолий Т
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Анатолий Т Новичок

Анатолий Т

Опубликовано
Опубликовано

День добрый.

10 апреля пошли спать. 11 утром обнаружили, что все файлы зашифрованы.

С Вашей помощью получилось восстановить файлы. Но вот сегодня обнаружил, что по RDP, с ноутбука который был вылечен, подключились к рабочему серверу и зашифровали там файлы тоже.

Помогите пожалуйста отчистить комп от заразы.

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Анатолий Т Новичок

Анатолий Т

Опубликовано
  • Автор
Опубликовано
3 минуты назад, Sandor сказал:

Она нужна для расшифровки. Или подошёл тот же ключ?

Ещё не пробовал, хотел для начала очистить комп от заразы. 

Ссылка на комментарий
Поделиться на другие сайты
Анатолий Т Новичок

Анатолий Т

Опубликовано
  • Автор
Опубликовано
38 минут назад, Sandor сказал:

Я потому и спросил. Прежде, чем очищать, нужно убедиться, что расшифровка есть.

сработал. расшифровал.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Понятно.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2022-04-10] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2022-04-10] () [Файл не подписан]
2022-04-11 13:09 - 2022-04-10 18:11 - 000000951 _____ C:\Users\su-share\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\Tasks\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\SysWOW64\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\SysWOW64\Drivers\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\USR1CV8\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Default\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\ProgramData\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\ProgramData\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
FirewallRules: [{1710E582-5B4D-405F-B22F-F4EB47832A41}] => (Allow) LPort=1541
FirewallRules: [{AA6856FC-B725-447F-BDEC-2C85FAC9F9E3}] => (Allow) LPort=5432
FirewallRules: [{43F32FCF-47E1-4300-9087-D4882DE8192F}] => (Allow) LPort=475
FirewallRules: [{F657E09D-D72A-484C-A082-0208F42BCC6A}] => (Allow) LPort=475
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Анатолий Т Новичок

Анатолий Т

Опубликовано
  • Автор
Опубликовано
4 минуты назад, Sandor сказал:

Понятно.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2022-04-10] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2022-04-10] () [Файл не подписан]
2022-04-11 13:09 - 2022-04-10 18:11 - 000000951 _____ C:\Users\su-share\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\Tasks\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\SysWOW64\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\SysWOW64\Drivers\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\USR1CV8\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Default\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\ProgramData\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\ProgramData\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
FirewallRules: [{1710E582-5B4D-405F-B22F-F4EB47832A41}] => (Allow) LPort=1541
FirewallRules: [{AA6856FC-B725-447F-BDEC-2C85FAC9F9E3}] => (Allow) LPort=5432
FirewallRules: [{43F32FCF-47E1-4300-9087-D4882DE8192F}] => (Allow) LPort=475
FirewallRules: [{F657E09D-D72A-484C-A082-0208F42BCC6A}] => (Allow) LPort=475
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Спасибо большое!

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Пароль на админскую учётку смените.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты
Анатолий Т Новичок

Анатолий Т

Опубликовано
  • Автор
Опубликовано
3 минуты назад, Sandor сказал:

Пароль на админскую учётку смените.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

  


var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Я его вообще удалил на время процедуры. Конечно пароль заново установлю. Спасибо большое ещё раз!!!

Ссылка на комментарий
Поделиться на другие сайты
  • Sandor изменил название на [Расшифровано] Шифровальщик lovestoryforyou часть 2

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 08Sergey
      Шифровальщик .eking
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • Александр_vgau
      шифровальщик banta
      Автор Александр_vgau
      Шифровальщик изменил файлы данных внутри сети на всех серверах и рабочих станциях с ОС Windows где был доступ по протоколу rdp или общие папки, часть бэкапов удалил.
      Антивирус не реагирует (все обновления установлены), наблюдали шифрование в режиме реального времени Антивирус спокойно наблюдал за шифрованием.
      Требования и файлы.rar Вирус.zip FRST.txt Addition.txt
    • vmax
      Шифровальщик 13
      Автор vmax
      Шифровальщик зашифровал все файлы, даже архивы, помогите, не знаю что делать. В архиве две заражённые картинки.
      1.jpg.id[3493C0DF-3274].[xlll@imap.cc].zip
    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
×
×
  • Создать...