Перейти к содержанию

[Расшифровано] Шифровальщик lovestoryforyou часть 2


Рекомендуемые сообщения

День добрый.

10 апреля пошли спать. 11 утром обнаружили, что все файлы зашифрованы.

С Вашей помощью получилось восстановить файлы. Но вот сегодня обнаружил, что по RDP, с ноутбука который был вылечен, подключились к рабочему серверу и зашифровали там файлы тоже.

Помогите пожалуйста отчистить комп от заразы.

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, Sandor сказал:

Она нужна для расшифровки. Или подошёл тот же ключ?

Ещё не пробовал, хотел для начала очистить комп от заразы. 

Ссылка на сообщение
Поделиться на другие сайты
38 минут назад, Sandor сказал:

Я потому и спросил. Прежде, чем очищать, нужно убедиться, что расшифровка есть.

сработал. расшифровал.

Ссылка на сообщение
Поделиться на другие сайты

Понятно.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2022-04-10] () [Файл не подписан]
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2022-04-10] () [Файл не подписан]
    2022-04-11 13:09 - 2022-04-10 18:11 - 000000951 _____ C:\Users\su-share\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\Tasks\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\SysWOW64\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\SysWOW64\Drivers\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\USR1CV8\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Default\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\ProgramData\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\ProgramData\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    FirewallRules: [{1710E582-5B4D-405F-B22F-F4EB47832A41}] => (Allow) LPort=1541
    FirewallRules: [{AA6856FC-B725-447F-BDEC-2C85FAC9F9E3}] => (Allow) LPort=5432
    FirewallRules: [{43F32FCF-47E1-4300-9087-D4882DE8192F}] => (Allow) LPort=475
    FirewallRules: [{F657E09D-D72A-484C-A082-0208F42BCC6A}] => (Allow) LPort=475
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, Sandor сказал:

Понятно.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    Start::
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2022-04-10] () [Файл не подписан]
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2022-04-10] () [Файл не подписан]
    2022-04-11 13:09 - 2022-04-10 18:11 - 000000951 _____ C:\Users\su-share\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\Tasks\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\SysWOW64\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Windows\SysWOW64\Drivers\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Администратор\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\USR1CV8\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Public\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Users\Default\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\ProgramData\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\ProgramData\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2022-04-10 18:11 - 2021-01-17 10:48 - 000000951 _____ C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    FirewallRules: [{1710E582-5B4D-405F-B22F-F4EB47832A41}] => (Allow) LPort=1541
    FirewallRules: [{AA6856FC-B725-447F-BDEC-2C85FAC9F9E3}] => (Allow) LPort=5432
    FirewallRules: [{43F32FCF-47E1-4300-9087-D4882DE8192F}] => (Allow) LPort=475
    FirewallRules: [{F657E09D-D72A-484C-A082-0208F42BCC6A}] => (Allow) LPort=475
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Спасибо большое!

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Пароль на админскую учётку смените.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, Sandor сказал:

Пароль на админскую учётку смените.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 


var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Я его вообще удалил на время процедуры. Конечно пароль заново установлю. Спасибо большое ещё раз!!!

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to [Расшифровано] Шифровальщик lovestoryforyou часть 2

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • highmind
      От highmind
      Здравствуйте, помогите пожалуйста найти и почистить следы после вирусняка.
      Подцепил вирус на одном из сайтов с репаками игр (ткнул неверную кнопку скачать), установил скачанное приложение но потом уже заподозрил неладное, проверил экзешник на вирустотале и обнаружил в нем трояны. Сразу же удалил установленную "игру" и попытался скачать dr web cureit, но вирус мешал (зависал браузер при попытке зайти на сайты антивиров). Затем получилось скинуть на комп через файлообменник утилиту др веба и начать сканирование. Нашло несколько угроз и пару майнеров которые он удалил, но осталось несколько проблем: не давало зайти на конкретные сайты (показывало ошибку днс), не было видно файла hosts, в дефендере винды были исключения которые никак нельзя было удалить и не работала система восстановления (ошибка 0x81000203). После этого проверял автономным дефендером винды, но он ничего не нашёл.
       
      Затем решил проверить компьютер другой утилитой - kaspersky removal tool (который кстати не открывался, пока его не переименовал), он справился лучше - открыл мне доступ к файлу хостс и подтёр еще пару файлов.
      После этого в файле хостс я руками удалил всё лишнее (именно он мне мешал заходить на сайты антивиров) и с помощью реестра смог таки убрать исключения из дефендера (по пути HKEY_LOCAL_MACHINE > SOFTWARE > Policies > Microsoft > Windows Defender > Exclusions).
      Также воспользовался программой AVZ и CCleaner.

      После всех манипуляций собрал лог автологгером (прикрепил).
       
      Что беспокоит на данный момент: всё еще не работает служба восстановления винды и есть подозрение, что вирус еще где-то сидит и не до конца уничтожен.
       
      CollectionLog-2022.08.13-21.39.zip
    • Lfrog
      От Lfrog
      Воспользовался KMS для активации офиса, после лечения и перезагрузки компьютера снова появляется.
      CollectionLog-2022.08.12-21.47.zip
    • mdv
      От mdv
      Здравствуйте.
      сегодня прошелся по общим дискам на сервере шифровальщик. тело вируса обнаружить не удалось. пока нет доступа к компьютеру под учёткой которого работал вирус.
      пошифровал тучу нужных документов. есть ли возможность расшифровать их?
      прикладываю пару файлов в архиве и отчёты Farbar'а
      Спасибо!
      1.zip Addition.txt FRST.txt
    • enotvkedah
      От enotvkedah
      На компьютер прилетел вирус по rdp. Жесткий диск отформатировали, остались зашифрованные файлы с сетевых папок, до которых он смог дотянуться. Сможете помочь с расшифровкой?
      В архиве зашифрованный jpg-файл и htm-записка вымогателей. Пароль от архива: jd712
      crypted.rar
    • malex337
      От malex337
      Получили такой вирус. hopeandhonest@smime.ninja[28A11195-F7636750] 
      Один из компьютеров на win764pro sp1, с обновлениями, с kes стандарт, попал этот шифровальщик. Убит полным удалением раздела.
      Хвост [28A11195-F7636750]  видно только с помощью freecommander или аналогов. 
      На других пк пока не обнаружилось. Сервер 2019 тоже молчит, но на древнем 2008 sp2 появились зашифрованные файлы.
      На него ничего не удается поставить из новых антивирусов, стоит kes 10.2.1.23 стандарт и даже не может обновляться, даже интернета на нем нет. 
      Файлы зашифрованные прилагаю, сам вирус не видно, файл с текстом от вымогателя есть с компьютера с windows 7, а на 2008 нет еще. Могу приложить, сохранил на флешке.
      Нужна помощь. 
      1. Можно ли расшифровать? Что делать чтобы сейчас его вылечить?
      2. Какие меры в будущем можно принять не только к двум описываемым пк, но и в целом, дайте, пожалуйста ссылку где можно прочитать.
      До этого kes убивал все на подлете. 
       
      Addition.txt FRST.txt rial1c_выгрузки.zip
×
×
  • Создать...