teslarvng Selena@onionmail.org

[nikolastv]

зашли по RDP  зашифровали все добрались даже до сетевых хранилищ на FTP

 

формат файла id[].[Selena@onionmail.org].Имяфайла.selena

 

Может кто сталкивался?

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[nikolastv]

Извините Первый раз тут Файлы во вложении

FRST.zip selena.zip

[Sandor]

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна? (Дыра, судя по логам, пока присутствует).

[nikolastv]

04.05.2022 в 13:23, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна? (Дыра, судя по логам, пока присутствует).

Да если можете подсказать куда смотреть Буду благодарен.

 

 

04.05.2022 в 13:23, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна? (Дыра, судя по логам, пока присутствует).

Нашлись те кто уже ловил эту штуку Они сказали что дешифратора не сохранилось Решили вопрос деньгами. Я так понимаю что те дыры которые присутствуют в системы Должны быть по инстукции запущены в определенном алгоритме И тогда все заработает Но это чисто догадки

 

[Sandor]

Извините за задержку с ответом.

 

05.05.2022 в 09:16, nikolastv сказал:

дешифратора не сохранилось

 

Вам чужой бы и не подошел.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  HKLM\...\RunOnce: [267bfc26-491c-42b4-9732-1c6e1b35d586] => "C:\Users\ADMINI~1\AppData\Local\Temp\{92b14513-a553-4cfe-b7fd-64b1caef3882}\267bfc26-491c-42b4-9732-1c6e1b35d586.cmd" <==== ВНИМАНИЕ
  IFEO\sethc.exe: [Debugger] C:\windows\apppatch\system.exe
  S2 jXT8Lq1y; c:\windows\system32\cmd.exe /c start c:\windows\wait.bat
  File: c:\windows\wait.bat
  FirewallRules: [{688A3B42-2454-44C3-B033-F9AFB2D0F81D}] => (Allow) LPort=475
  FirewallRules: [{64A2D90D-2703-45B1-969D-4BC1259E7968}] => (Allow) LPort=475
  FirewallRules: [{A1A0BBC5-4EF4-4518-B41E-50722FF39561}] => (Allow) LPort=35107
  FirewallRules: [{C7D7EF80-A958-49E8-9A44-6751183F82D6}] => (Allow) LPort=35113
  FirewallRules: [{B51ABBC8-8BB4-4AA8-AFFA-C97BDF725945}] => (Allow) LPort=35114
  FirewallRules: [{D1844126-3A2A-45E0-A317-85DB78FCACBB}] => (Allow) LPort=35221
  FirewallRules: [{061DE78F-8695-4529-A201-D74967DFA916}] => (Allow) LPort=35121
  FirewallRules: [{0E17FBA7-774F-4419-8EC6-B9D52DE85082}] => (Allow) LPort=35108
  FirewallRules: [{7D11E5B1-F82A-45DE-8DE3-7A7CCD1EC56D}] => (Allow) LPort=35106
  FirewallRules: [{FBCDB29A-6931-4C18-AA75-299B5E47E225}] => (Allow) LPort=35200
  FirewallRules: [{5B294A5F-D8BF-4D6D-88BE-3C504B489EAD}] => (Allow) LPort=35116
  FirewallRules: [{3C60A41F-39C2-46EF-8E1C-33ECBCF5277E}] => (Allow) LPort=35117
  FirewallRules: [{6526E1F5-7744-4768-A4A0-FC2A74ED9F44}] => (Allow) LPort=35119
  FirewallRules: [{FB20EEB2-FFFB-4B87-99B3-3CD56AF3BDA5}] => (Allow) LPort=35120
  FirewallRules: [{C133CF51-054F-44FD-A991-766118580855}] => (Allow) LPort=35100
  FirewallRules: [{8CEA19E2-829A-4D66-9139-7DEAE8CDAD61}] => (Allow) LPort=35101
  FirewallRules: [{403CCE37-46A3-4E56-9E02-1C088634E03C}] => (Allow) LPort=35102
  FirewallRules: [{799BA8F4-833E-4A7D-8245-AD75FB731C1C}] => (Allow) LPort=35103
  FirewallRules: [{9A7917B9-396B-4F13-9B9B-25B3CA08BEE6}] => (Allow) LPort=35104
  FirewallRules: [{15464B95-B489-4B40-914E-0D15D76CD78E}] => (Allow) LPort=35105
  FirewallRules: [{A535AA52-0793-4D57-96D0-6353DC66E339}] => (Allow) LPort=35109
  FirewallRules: [{09E0DA84-BAE1-46CD-9ACA-992BF5886E2D}] => (Allow) LPort=35110
  FirewallRules: [{216E2FBA-090F-44CF-8B9F-202754AD26EA}] => (Allow) LPort=35111
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Файл selena.txt вы переименовали самостоятельно?