Перейти к содержанию

[Расшифровано] Шифровальщик lovestoryforyou часть 2


Рекомендуемые сообщения

День добрый.

10 апреля пошли спать. 11 утром обнаружили, что все файлы зашифрованы.

С Вашей помощью получилось восстановить файлы. Но вот сегодня обнаружил, что по RDP, с ноутбука который был вылечен, подключились к рабочему серверу и зашифровали там файлы тоже.

Помогите пожалуйста отчистить комп от заразы.

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, Sandor сказал:

Она нужна для расшифровки. Или подошёл тот же ключ?

Ещё не пробовал, хотел для начала очистить комп от заразы. 

Ссылка на сообщение
Поделиться на другие сайты
38 минут назад, Sandor сказал:

Я потому и спросил. Прежде, чем очищать, нужно убедиться, что расшифровка есть.

сработал. расшифровал.

Ссылка на сообщение
Поделиться на другие сайты

Понятно.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2022-04-10] () [Файл не подписан]
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2022-04-10] () [Файл не подписан]
    2022-04-11 13:09 - 2022-04-10 18:11 - 000000951 _____ C:\Users\su-share\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\Tasks\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\SysWOW64\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\SysWOW64\Drivers\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\USR1CV8\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Default\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\ProgramData\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\ProgramData\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    FirewallRules: [{1710E582-5B4D-405F-B22F-F4EB47832A41}] => (Allow) LPort=1541
    FirewallRules: [{AA6856FC-B725-447F-BDEC-2C85FAC9F9E3}] => (Allow) LPort=5432
    FirewallRules: [{43F32FCF-47E1-4300-9087-D4882DE8192F}] => (Allow) LPort=475
    FirewallRules: [{F657E09D-D72A-484C-A082-0208F42BCC6A}] => (Allow) LPort=475
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, Sandor сказал:

Понятно.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    Start::
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2022-04-10] () [Файл не подписан]
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2022-04-10] () [Файл не подписан]
    2022-04-11 13:09 - 2022-04-10 18:11 - 000000951 _____ C:\Users\su-share\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\Tasks\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\SysWOW64\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\SysWOW64\Drivers\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\USR1CV8\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Default\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\ProgramData\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\ProgramData\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    FirewallRules: [{1710E582-5B4D-405F-B22F-F4EB47832A41}] => (Allow) LPort=1541
    FirewallRules: [{AA6856FC-B725-447F-BDEC-2C85FAC9F9E3}] => (Allow) LPort=5432
    FirewallRules: [{43F32FCF-47E1-4300-9087-D4882DE8192F}] => (Allow) LPort=475
    FirewallRules: [{F657E09D-D72A-484C-A082-0208F42BCC6A}] => (Allow) LPort=475
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Спасибо большое!

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Пароль на админскую учётку смените.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, Sandor сказал:

Пароль на админскую учётку смените.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 


var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Я его вообще удалил на время процедуры. Конечно пароль заново установлю. Спасибо большое ещё раз!!!

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to [Расшифровано] Шифровальщик lovestoryforyou часть 2

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • Pupsik228
      От Pupsik228
      Здравствуйте.
      Недавно столкнулся с проблемой. После перезагрузки компьютера касперский жалуется на файл, файл находится в папке ProgramData там он не отображается(но если ввести в поиск название вируса то он виден) я пробовал удалить его антивирусом. и удалить саму папку с вирусом. и в обоих случаях это помогает, но после перезагрузки компьютера вирус восстанавливается, и антивирус снова жалуется на него.
      это будет видно на скриншотах. Надеюсь на вашу помощь)
      P.S. Я смотрел и вроде вирус не нагружает видеокарту и компьютер работает быстро, но все равно волнуюсь.


      CollectionLog-2024.03.25-15.50.zip
    • tized-NSK
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • Александр Соколов
      От Александр Соколов
      В интернете словил майнер,грузит процессор на 100 и видеокарту на 100,прошу помощи
×
×
  • Создать...