Решена без расшифровки Расшифровка [datastore@cyberfear.com].Elbie

[yaknick]

Добрый день

Столкнулся с [datastore@cyberfear.com].Elbie
В архиве кроме зашифрованных файлов скрин записки

Спасибо

 

[Sandor]

Здравствуйте!

Это Phobos, расшифровки нет, к сожалению.

Файл

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.cr_osn.exe

проверьте на www.virustotal.com и покажите ссылку на результат.

Уберите разрешения на эти порты:

FirewallRules: [{F6FD693A-2622-4662-8086-028CB5955C41}] => (Allow) LPort=1688
FirewallRules: [{0B3760A5-60D9-42E5-944B-D2CEBA1D2341}] => (Allow) LPort=443

 

[yaknick]

Защитник виндовс уже распознал файл
Восстановить его и проверить?
Доступа к фаерволу убрать разрешения к сожалению нет, все закрыто

 

[Sandor]

Восстановить его и проверить?

Нет, не нужно. Проверьте нет ли его по этому пути

C:\Users\Администратор.WIN-OGVJD17HHL0\AppData\Local\.cr_osn.exe

Доступа к фаерволу убрать разрешения к сожалению нет, все закрыто

Можем убрать скриптом:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.cr_osn.exe [2022-12-09] () [Файл не подписан]
  Startup: C:\Users\Администратор.WIN-OGVJD17HHL0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.cr_osn.exe [2022-12-09] () [Файл не подписан]
  2023-01-11 15:29 - 2022-12-09 08:51 - 000057344 ____N () C:\Users\Администратор.WIN-OGVJD17HHL0\AppData\Local\.cr_osn.exe
  2023-01-11 15:32 - 2023-01-11 17:52 - 000005466 _____ C:\Users\Администратор.WIN-OGVJD17HHL0\Desktop\info.hta
  2023-01-11 15:32 - 2023-01-11 17:52 - 000005466 _____ C:\Users\Public\Desktop\info.hta
  2023-01-11 15:32 - 2023-01-11 17:52 - 000005466 _____ C:\info.hta
  2023-01-11 15:32 - 2023-01-11 17:52 - 000000191 _____ C:\Users\Администратор.WIN-OGVJD17HHL0\Desktop\info.txt
  2023-01-11 15:32 - 2023-01-11 17:52 - 000000191 _____ C:\Users\Public\Desktop\info.txt
  2023-01-11 15:32 - 2023-01-11 17:52 - 000000191 _____ C:\info.txt
  AlternateDataStreams: C:\Windows\system32\Drivers\bgvcluru.sys:changelist [1506]
  FirewallRules: [{F6FD693A-2622-4662-8086-028CB5955C41}] => (Allow) LPort=1688
  FirewallRules: [{0B3760A5-60D9-42E5-944B-D2CEBA1D2341}] => (Allow) LPort=443
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Сервер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

[yaknick]

Нет, не нужно. Проверьте нет ли его по этому пути

Нет

Файл прикреплен

 

[Sandor]

Это всё, чем мы можем помочь.

Возьмите на заметку - Рекомендации после удаления вредоносного ПО

 

[yaknick]

Спасибо
Шансы на расшифровку в будущем есть?

 

[Sandor]

Весьма и весьма сомнительно (
Если намерены сохранить файлы в надежде на появление расшифровки, сохраните и папку C:\FRST.