Перейти к содержанию

Шифровальщик WinLock@keemail.me

Anton70
 Поделиться

Рекомендуемые сообщения

Anton70

Anton70

Опубликовано
Опубликовано (изменено)

Добрый день!

 

Словил шифровальщик.

Похоже что зашли на сервер по RDP.

Зашифровано всё, в том числе и бэкапы. 

Файлы имеют вид - [WinLock@keemail.me][код]имя файла.Loki

 

Есть способ расшифровать такие файлы ?

 

[mod]Не надо выкладывать вирусы на форуме[/mod] 

FRST.zip files.zip

Изменено пользователем mike 1
Карантин в теме
mike 1

mike 1

Опубликовано
Опубликовано

Здравствуйте.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: 
CreateRestorePoint:
(Microsoft) [Файл не подписан] C:\Windows\winlogon.exe
HKLM-x32\...\Run: [Michael Gillespie] => C:\Windows\winlogon.exe [583168 2022-04-09] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-3744054650-1620138917-4001793172-500\...\Run: [Michael Gillespie] => C:\ProgramData\winlogon.exe [583424 2022-05-02] () [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-3744054650-1620138917-4001793172-500\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-18\...\Run: [Michael Gillespie] => C:\ProgramData\winlogon.exe [583424 2022-05-02] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2022-04-09] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2022-04-09] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2022-05-02] () [Файл не подписан]
Task: {985E7D08-E1DA-44FD-8C5B-0F18563D3A7A} - System32\Tasks\Loki => C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\winlogon.exe [583168 2022-04-09] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
2022-05-02 07:30 - 2022-05-02 10:06 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
virustotal: C:\Windows\SysWOW64\winlogon.exe
2022-05-02 05:12 - 2022-05-02 14:49 - 000001836 ____H C:\Users\Администратор.WIN-68M88C5TC44\Desktop\0.cmd
2022-05-02 05:11 - 2022-05-02 14:49 - 001851728 _____ C:\Users\Администратор.WIN-68M88C5TC44\Desktop\aPH.exe
2022-05-02 03:50 - 2022-05-02 14:49 - 000583424 ___SH C:\ProgramData\winlogon.exe
2022-05-02 02:02 - 2022-04-09 04:34 - 000583168 ___SH (Microsoft) C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\winlogon.exe
2022-05-02 03:50 - 2022-05-02 14:49 - 000583424 ___SH () C:\ProgramData\winlogon.exe
2022-05-02 02:02 - 2022-05-02 02:02 - 000000314 _____ () C:\Program Files\Restore-My-Files.txt
2022-05-02 02:02 - 2022-05-02 02:02 - 000000314 _____ () C:\Program Files (x86)\Restore-My-Files.txt
2022-05-02 07:30 - 2022-05-02 07:30 - 000000314 _____ () C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\Restore-My-Files.txt
2022-05-02 02:02 - 2022-04-09 04:34 - 000583168 ___SH (Microsoft) C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\winlogon.exe
zip:C:\FRST\Quarantine

 

3. Запустите FRST и нажмите один раз на кнопку Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Arocs
      Шифровальщик adk0@keemail.me
      Автор Arocs
      Прошу помощи в расшифровке файлов. Картинки, базы данных, текстовые. 
      FILES_ENCRYPTED.txt шифрованые.zip
    • Ser25
      Шифровальщик
      Автор Ser25
      Взломали пароль и зашифровали удаленный комп. Пока ничего не предпринимал
      20250507.7z
    • Пользователь 1551
      Шифровальщик
      Автор Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Thunderer
      Шифровальщик
      Автор Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Сергей_00
      шифровальщик
      Автор Сергей_00
      Добрый день!
      Сегодня шифровальщик зашифровал большую часть нужных файлов, благо выключили компьютер из розетки...
      В результате остались файлы в папке запуска подозрительного файла   svhostss.exe, а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe
      следующие файлы:
      Everything.db
      Everything32.dll
      Everything64.dll
      session.tmp
      svhostss.exe
       
      быть может есть возможность дешифровать данные? 
×
×
  • Создать...