Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

 

Словил шифровальщик.

Похоже что зашли на сервер по RDP.

Зашифровано всё, в том числе и бэкапы. 

Файлы имеют вид - [WinLock@keemail.me][код]имя файла.Loki

 

Есть способ расшифровать такие файлы ?

 

[mod]Не надо выкладывать вирусы на форуме[/mod] 

FRST.zip files.zip

Изменено пользователем mike 1
Карантин в теме
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
(Microsoft) [Файл не подписан] C:\Windows\winlogon.exe
HKLM-x32\...\Run: [Michael Gillespie] => C:\Windows\winlogon.exe [583168 2022-04-09] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-3744054650-1620138917-4001793172-500\...\Run: [Michael Gillespie] => C:\ProgramData\winlogon.exe [583424 2022-05-02] () [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-3744054650-1620138917-4001793172-500\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-18\...\Run: [Michael Gillespie] => C:\ProgramData\winlogon.exe [583424 2022-05-02] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2022-04-09] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2022-04-09] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2022-05-02] () [Файл не подписан]
Task: {985E7D08-E1DA-44FD-8C5B-0F18563D3A7A} - System32\Tasks\Loki => C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\winlogon.exe [583168 2022-04-09] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
2022-05-02 07:30 - 2022-05-02 10:06 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
virustotal: C:\Windows\SysWOW64\winlogon.exe
2022-05-02 05:12 - 2022-05-02 14:49 - 000001836 ____H C:\Users\Администратор.WIN-68M88C5TC44\Desktop\0.cmd
2022-05-02 05:11 - 2022-05-02 14:49 - 001851728 _____ C:\Users\Администратор.WIN-68M88C5TC44\Desktop\aPH.exe
2022-05-02 03:50 - 2022-05-02 14:49 - 000583424 ___SH C:\ProgramData\winlogon.exe
2022-05-02 02:02 - 2022-04-09 04:34 - 000583168 ___SH (Microsoft) C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\winlogon.exe
2022-05-02 03:50 - 2022-05-02 14:49 - 000583424 ___SH () C:\ProgramData\winlogon.exe
2022-05-02 02:02 - 2022-05-02 02:02 - 000000314 _____ () C:\Program Files\Restore-My-Files.txt
2022-05-02 02:02 - 2022-05-02 02:02 - 000000314 _____ () C:\Program Files (x86)\Restore-My-Files.txt
2022-05-02 07:30 - 2022-05-02 07:30 - 000000314 _____ () C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\Restore-My-Files.txt
2022-05-02 02:02 - 2022-04-09 04:34 - 000583168 ___SH (Microsoft) C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\winlogon.exe
zip:C:\FRST\Quarantine

 

3. Запустите FRST и нажмите один раз на кнопку Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Evgen_V
      От Evgen_V
      Добрый вечер. поймали шифровальщик, поменял расширения файлов на это (decryptionmypc2017@gmail.com).Joker .  FRST.txtAddition.txtзашифрованные файлы.rar
    • V_titov
      От V_titov
      Поймал шифровальщик @keemail.me, два компа.
      Один под Win10, второй под WIN Server (версию не помню).
      Файлы анализа и файлы вирус (файлы требований и файлы шифровальщика) подготовил, упаковал согласно требованиям.
      Так же сделал снимки экранов с сообщениями о шифровке.
      Подготовил отдельно для каждого компа.
      При подготовке файла анализа использовал WIn PE, примеров зашифрованных файлов не удалось подготовить, если критично - буду дальше шаманить.
      Примечание:
      По этому шифровальщику уже есть тема:
      https://forum.kasperskyclub.ru/topic/96063-shifrovalshhik-winlockkeemailme/
    • Less
      От Less
      Добрый день!
       
      Требуется помощь в расшифровке файлов.
       
      Вирус пробрался через RDP соединение, создал нового пользователя, администратора видимо заблокировал, т.к. в его учетную запись зайти не удается.
       
      Addition.txt FRST.txt Вирус и примеры файлов.rar
    • Алексейtime
      От Алексейtime
      Доброе время суток. Вчера зашифровался большой объём данных на файлообменнике. Подскажите пожалуйста есть ли возможность восстановить данные, если система не windows?
      ОС Платформы: FreeBSD 12.2-RELEASE-p7 #0 r369900M: Sun May 30 01:42:50 CEST 2021
      Версия: 12.2.0.4 - Ornithopter (сборка 8458)
      Соответственно программу Farbar Recovery Scan Tool для собора логов запустить не могу. В архиве прикрепил два зашифрованных файла, how_to_decrypt.hta файл и скрин описания системы.
      Поскольку это файлообменник доступы были открыты по всем версиям SMB.
      Не понятно каким образом был запущен вирус, если с самого файлообменника нет возможности выполнить исполняемые файлы. Есть ли смысл начинать диалог с вымогателями? Заранее спасибо за помощь
      Зашифрованные файлы.rar
    • Andreyuser
      От Andreyuser
      У меня периодически вылетает окно не хватает памяти озу и грузится процессор, хотя ни какие  игры и высоконагруженные процессы не были запущены, антивирус установлен kaspersky endpoint security. 
      При сканировании avz  выдал "Подозрение на маскировку процесса hasplms.exe".
      CollectionLog-2022.05.08-17.34.zip
      Сведения о системе.zip
×
×
  • Создать...