Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

 

Словил шифровальщик.

Похоже что зашли на сервер по RDP.

Зашифровано всё, в том числе и бэкапы. 

Файлы имеют вид - [WinLock@keemail.me][код]имя файла.Loki

 

Есть способ расшифровать такие файлы ?

 

[mod]Не надо выкладывать вирусы на форуме[/mod] 

FRST.zip files.zip

Изменено пользователем mike 1
Карантин в теме
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
(Microsoft) [Файл не подписан] C:\Windows\winlogon.exe
HKLM-x32\...\Run: [Michael Gillespie] => C:\Windows\winlogon.exe [583168 2022-04-09] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-3744054650-1620138917-4001793172-500\...\Run: [Michael Gillespie] => C:\ProgramData\winlogon.exe [583424 2022-05-02] () [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-3744054650-1620138917-4001793172-500\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-18\...\Run: [Michael Gillespie] => C:\ProgramData\winlogon.exe [583424 2022-05-02] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2022-04-09] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2022-04-09] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2022-05-02] () [Файл не подписан]
Task: {985E7D08-E1DA-44FD-8C5B-0F18563D3A7A} - System32\Tasks\Loki => C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\winlogon.exe [583168 2022-04-09] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
2022-05-02 07:30 - 2022-05-02 10:06 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
virustotal: C:\Windows\SysWOW64\winlogon.exe
2022-05-02 05:12 - 2022-05-02 14:49 - 000001836 ____H C:\Users\Администратор.WIN-68M88C5TC44\Desktop\0.cmd
2022-05-02 05:11 - 2022-05-02 14:49 - 001851728 _____ C:\Users\Администратор.WIN-68M88C5TC44\Desktop\aPH.exe
2022-05-02 03:50 - 2022-05-02 14:49 - 000583424 ___SH C:\ProgramData\winlogon.exe
2022-05-02 02:02 - 2022-04-09 04:34 - 000583168 ___SH (Microsoft) C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\winlogon.exe
2022-05-02 03:50 - 2022-05-02 14:49 - 000583424 ___SH () C:\ProgramData\winlogon.exe
2022-05-02 02:02 - 2022-05-02 02:02 - 000000314 _____ () C:\Program Files\Restore-My-Files.txt
2022-05-02 02:02 - 2022-05-02 02:02 - 000000314 _____ () C:\Program Files (x86)\Restore-My-Files.txt
2022-05-02 07:30 - 2022-05-02 07:30 - 000000314 _____ () C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\Restore-My-Files.txt
2022-05-02 02:02 - 2022-04-09 04:34 - 000583168 ___SH (Microsoft) C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\winlogon.exe
zip:C:\FRST\Quarantine

 

3. Запустите FRST и нажмите один раз на кнопку Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • 08Sergey
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • Александр_vgau
      Автор Александр_vgau
      Шифровальщик изменил файлы данных внутри сети на всех серверах и рабочих станциях с ОС Windows где был доступ по протоколу rdp или общие папки, часть бэкапов удалил.
      Антивирус не реагирует (все обновления установлены), наблюдали шифрование в режиме реального времени Антивирус спокойно наблюдал за шифрованием.
      Требования и файлы.rar Вирус.zip FRST.txt Addition.txt
    • vmax
      Автор vmax
      Шифровальщик зашифровал все файлы, даже архивы, помогите, не знаю что делать. В архиве две заражённые картинки.
      1.jpg.id[3493C0DF-3274].[xlll@imap.cc].zip
    • Беляш
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
×
×
  • Создать...