Перейти к содержанию

письмо: cчёт от ростелекома. итог: все файлы ******77DDA37.no_more_ransom


Рекомендуемые сообщения

Дормидонд Евлампиевич

Всем смышлёным ребятам физкульт привет!!

Тётенька на работе получила письмо и всё "что надо" открыла. 

 

-------- Пересылаемое сообщение --------

От кого: Шубин Сергей <pqg@ghe.ru>
Кому: 
Дата: Понедельник, 16 января 2017, 15:07 +04:00
Тема: gсчет
 

Добрый день!

Отправляю счет повторно:

 

 


==============================================================

 

В итоге все файлы документов превратились в шлак с расширением *.no_more_ransom
В корне логического диска десяток файлов README1.txt
С текстом:
===================================
Ваши фaйлы былu зашифрованы.
Чmобы рacшифрoваmь uх, Вам неoбходuмo omnрaвumь kод:
AE6A8345F87DE77DDA37|0
нa элеkmрoнный aдрeс yvonne.vancese1982@gmail.com .
Далее вы пoлyчuтe вcе необходuмые uнcmpуkциu.
Пoпыmku pacшифpовamь caмoстояmельно нe nрuвeдyт ни k чeму, кроме бeзвoзвраmнoй потeрu инфоpмациu.
Ecли вы вcё же хomuтe поnытаmься, то пpедвaрuтeльнo cделaйmе peзeрвные konиu файлов, uначe в cлyчае
uх uзмeненuя раcшuфpовka cmaнет невoзможной нu npи кaкuх yсловuяx.
Ecлu вы нe nолyчилu omвema no вышeуkaзанномy aдресу в теченue 48 чacoв (u тoлько в эmом cлyчae!),
восnoльзуйтeсь фopмой обpaтной cвязu. Это мoжно cделamь двyмя сnосoбaми:
1) Скачайmе и ycmановиmе Tor Browser no cсылке: https://www.torproject.org/download/download-easy.html.en
B aдрeснoй cтрокe Tor Browser-а введиmе aдpеc:
и нaжмuте Enter. 3аrpузuтся cmpаница c фopмoй обpamнoй cвязu.
2) B любом бpaузерe nеpейдuтe по oдномy uз адресов:
===================================

 

.Если будет настроение - большая просьба помочь. Может здоровье сохраним.. 

CollectionLog-2017.01.19-15.42.zip

Ссылка на сообщение
Поделиться на другие сайты

И зачем вы открываете письма от неизвестных адресатов?

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
Дормидонд Евлампиевич

И зачем вы открываете письма от неизвестных адресатов?

 

 В данном случае чудовищныи образом получение письма якобы от Ростелекома совпало с ожиданием от них же реальной инфрмации по доступу оплате и тп.. увы..  засада подстерегла... 

FRST.txt

Addition.txt

Изменено пользователем Дормидонд Евлампиевич
Ссылка на сообщение
Поделиться на другие сайты

А посмотреть от кого пришло письмо не можете? Но ничего получите ценный урок и в будущем будете смотреть что открываете, я надеюсь.

 

От кого: Шубин Сергей <pqg@ghe.ru>

Тут никаким Ростелекомом и не пахнет, но некоторые наивные пользователи ведутся и на такую фигню.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    CloseProcesses:
    Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
    Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
    Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
    BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll => No File
    2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README8.txt
    2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README7.txt
    2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README6.txt
    2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README5.txt
    2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README4.txt
    2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README3.txt
    2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README2.txt
    2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README10.txt
    2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README1.txt
    2017-01-16 17:05 - 2017-01-16 17:05 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на сообщение
Поделиться на другие сайты
Дормидонд Евлампиевич

Fixlog.txt

А посмотреть от кого пришло письмо не можете? Но ничего получите ценный урок и в будущем будете смотреть что открываете, я надеюсь.
 

От кого: Шубин Сергей <pqg@ghe.ru>

Тут никаким Ростелекомом и не пахнет, но некоторые наивные пользователи ведутся и на такую фигню.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
    Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
    Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
    BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll => No File
    2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README8.txt
    2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README7.txt
    2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README6.txt
    2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README5.txt
    2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README4.txt
    2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README3.txt
    2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README2.txt
    2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README10.txt
    2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README1.txt
    2017-01-16 17:05 - 2017-01-16 17:05 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на сообщение
Поделиться на другие сайты

 

AV: Microsoft Security Essentials (Enabled - Up to date) {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса. В вашем случае это Microsoft.

Ссылка на сообщение
Поделиться на другие сайты
Дормидонд Евлампиевич

 

 

AV: Microsoft Security Essentials (Enabled - Up to date) {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса. В вашем случае это Microsoft.

 

Спасибо большое за помощь!

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • tized-NSK
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • AlexDreyk
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • dsever
      От dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
    • vyz-project
      От vyz-project
      На рабочем компьютере 19.11.23 начиная примерно в 22:30 (судя по дате изменения) были зашифрованы все файлы. Теперь они все с расширением .id[705C9723-3351].[blankqq@tuta.io].elpy
      На данный момент зараженный компьютер изолирован. Но он был в локальной сети до этого момента.
      Логи и файлы приложил.
      pdf_files.7z Addition.txt FRST.txt
×
×
  • Создать...