Перейти к содержанию

Ваши файлы были зашифрованы

Григорий Кайгородов

Автор Григорий Кайгородов,
в Помощь в борьбе с шифровальщиками-вымогателями

 Share Подписчики 0

Рекомендуемые сообщения

Григорий Кайгородов

Григорий Кайгородов 0

Опубликовано
Опубликовано (изменено)

Прошу помощи в каперском дешифраторы не помогли.

Пример файла не прекрепляеться но выглядит так:

2PRqtnTwKyeYNi75LgcXXPAErEO7qdcgZxW8OEpuAo-FsrWGp5f80dV0sakCQEXK.FE2DF5E26339FC9EBE52.no_more_ransom

все файлы так зашифрованыю в текстовике написано следующее:

 

Baши фaйлы былu зaшuфpовaны.
Чтoбы pаcшuфpoвать ux, Вaм нeобхoдuмо oтnравить кoд:
FE2DF5E26339FC9EBE52|0
на элeктpoнный aдреc Novikov.Vavila@gmail.com .
Далее вы пoлyчume вce неoбxодимыe инcmрyкцuи.
Попыmки рacшифрoвamь самoстояmельнo не nривeдym нu k чeму, кpомe безвозвpатной пomepи инфopмацuи.
Ecли вы вcё жe хотитe пonытamьcя, mo nрeдвapuтeльнo сдeлaйme pезервныe koпuи файлов, uначe в слyчае
иx измeнeнuя pacшuфpовka сmанеm нeвозможнoй ни nрu kаких уcловияx.
Еcли вы нe nолучuлu оmвеma no вышeyкaзaннoмy aдреcy в mечeнuе 48 чacов (u mольko в этом cлучае!),
вocnoльзyйmесь фopмой обрaтнoй связи. Это мoжно cделать двyмя cnocoбами:
1) Скачaйmе и ycтанoвume Tor Browser no ссылке: https://www.torproject.org/download/download-easy.html.en
B адрeснoй cmpokе Tor Browser-а ввeдumе aдрес:
и нажмuте Enter. Загрузumcя стpaница c фоpмoй обpатной связu.
2) В любом бpaузepе nеpeйдuтe no одномy из aдрeсoв:
 

CollectionLog-2017.01.19-13.41.zip

Изменено пользователем Григорий Кайгородов
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано (изменено)

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 TerminateProcessByName('c:\programdata\csrss\csrss.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\programdata\services\csrss.exe');
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 DeleteFile('c:\programdata\drivers\csrss.exe','32');
 DeleteFile('c:\programdata\services\csrss.exe','32');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('c:\programdata\csrss\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером.

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
Григорий Кайгородов

Григорий Кайгородов 0

Опубликовано
  • Автор
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 TerminateProcessByName('c:\programdata\csrss\csrss.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\programdata\services\csrss.exe');
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 DeleteFile('c:\programdata\drivers\csrss.exe','32');
 DeleteFile('c:\programdata\services\csrss.exe','32');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('c:\programdata\csrss\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автолог

Прошу прощения за задержку высылаюлоги

CollectionLog-2017.01.25-09.46.zip

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
2017-01-17 16:08 - 2017-01-25 09:23 - 00000000 __SHD C:\Users\Все пользователи\services
2017-01-17 16:08 - 2017-01-25 09:23 - 00000000 __SHD C:\ProgramData\services
2017-01-17 16:08 - 2017-01-25 09:21 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-01-17 16:08 - 2017-01-25 09:21 - 00000000 __SHD C:\ProgramData\Csrss
2017-01-17 16:08 - 2017-01-17 16:08 - 06220854 _____ C:\Users\Домашний\AppData\Roaming\C80656CCC80656CC.bmp
2017-01-17 16:08 - 2017-01-17 16:08 - 00004154 _____ C:\Users\Домашний\Desktop\README9.txt
2017-01-17 16:08 - 2017-01-17 16:08 - 00004154 _____ C:\Users\Домашний\Desktop\README8.txt
2017-01-17 16:08 - 2017-01-17 16:08 - 00004154 _____ C:\Users\Домашний\Desktop\README7.txt
2017-01-17 16:08 - 2017-01-17 16:08 - 00004154 _____ C:\Users\Домашний\Desktop\README6.txt
2017-01-17 16:08 - 2017-01-17 16:08 - 00004154 _____ C:\Users\Домашний\Desktop\README3.txt
2017-01-17 16:08 - 2017-01-17 16:08 - 00004154 _____ C:\Users\Домашний\Desktop\README2.txt
2017-01-17 16:08 - 2017-01-17 16:08 - 00004154 _____ C:\Users\Домашний\Desktop\README10.txt
2017-01-17 15:43 - 2017-01-25 09:23 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-01-17 15:43 - 2017-01-25 09:23 - 00000000 __SHD C:\ProgramData\Windows
2017-01-17 16:08 - 2017-01-17 16:08 - 6220854 _____ () C:\Users\Домашний\AppData\Roaming\C80656CCC80656CC.bmp
2017-01-17 16:08 - 2017-01-17 16:08 - 1497600 _____ () C:\Users\Домашний\AppData\Local\Temp\0FAAC411.exe
2017-01-17 16:08 - 2017-01-17 16:08 - 0887296 _____ (Microsoft Corporation) C:\Users\Домашний\AppData\Local\Temp\595D5C8C.exe
2016-02-13 22:18 - 2016-02-13 22:18 - 4584344 _____ (Google) C:\Users\Домашний\AppData\Local\Temp\69F0.exe
2017-01-17 16:08 - 2017-01-17 16:08 - 1032704 _____ (Microsoft Corporation) C:\Users\Домашний\AppData\Local\Temp\9E7DCD2D.exe
2017-01-17 16:13 - 2017-01-17 16:13 - 1012224 ___SH () C:\Users\Домашний\AppData\Local\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll
2016-09-02 11:41 - 2017-01-18 22:41 - 4167384 _____ (Mail.Ru) C:\Users\Домашний\AppData\Local\Temp\mrutmp.exe
2015-03-26 12:12 - 2015-03-26 12:12 - 6359576 _____ (AVG Technologies) C:\Users\Домашний\AppData\Local\Temp\oi_{BCCF4D40-997F-46A0-BD19-35173F12171F}.exe
Task: {19DDA5A8-4BBA-4C29-B873-EB6E20F82C61} - System32\Tasks\Open Chrome => Chrome.exe --new-window hxxp://toolbar.avg.com/almost-done?pid=avg&lang=ru
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на сообщение
Поделиться на другие сайты
Григорий Кайгородов

Григорий Кайгородов 0

Опубликовано
  • Автор
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
2017-01-17 16:08 - 2017-01-25 09:23 - 00000000 __SHD C:\Users\Все пользователи\services
2017-01-17 16:08 - 2017-01-25 09:23 - 00000000 __SHD C:\ProgramData\services
2017-01-17 16:08 - 2017-01-25 09:21 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-01-17 16:08 - 2017-01-25 09:21 - 00000000 __SHD C:\ProgramData\Csrss
2017-01-17 16:08 - 2017-01-17 16:08 - 06220854 _____ C:\Users\Домашний\AppData\Roaming\C80656CCC80656CC.bmp
2017-01-17 16:08 - 2017-01-17 16:08 - 00004154 _____ C:\Users\Домашний\Desktop\README9.txt
2017-01-17 16:08 - 2017-01-17 16:08 - 00004154 _____ C:\Users\Домашний\Desktop\README8.txt
2017-01-17 16:08 - 2017-01-17 16:08 - 00004154 _____ C:\Users\Домашний\Desktop\README7.txt
2017-01-17 16:08 - 2017-01-17 16:08 - 00004154 _____ C:\Users\Домашний\Desktop\README6.txt
2017-01-17 16:08 - 2017-01-17 16:08 - 00004154 _____ C:\Users\Домашний\Desktop\README3.txt
2017-01-17 16:08 - 2017-01-17 16:08 - 00004154 _____ C:\Users\Домашний\Desktop\README2.txt
2017-01-17 16:08 - 2017-01-17 16:08 - 00004154 _____ C:\Users\Домашний\Desktop\README10.txt
2017-01-17 15:43 - 2017-01-25 09:23 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-01-17 15:43 - 2017-01-25 09:23 - 00000000 __SHD C:\ProgramData\Windows
2017-01-17 16:08 - 2017-01-17 16:08 - 6220854 _____ () C:\Users\Домашний\AppData\Roaming\C80656CCC80656CC.bmp
2017-01-17 16:08 - 2017-01-17 16:08 - 1497600 _____ () C:\Users\Домашний\AppData\Local\Temp\0FAAC411.exe
2017-01-17 16:08 - 2017-01-17 16:08 - 0887296 _____ (Microsoft Corporation) C:\Users\Домашний\AppData\Local\Temp\595D5C8C.exe
2016-02-13 22:18 - 2016-02-13 22:18 - 4584344 _____ (Google) C:\Users\Домашний\AppData\Local\Temp\69F0.exe
2017-01-17 16:08 - 2017-01-17 16:08 - 1032704 _____ (Microsoft Corporation) C:\Users\Домашний\AppData\Local\Temp\9E7DCD2D.exe
2017-01-17 16:13 - 2017-01-17 16:13 - 1012224 ___SH () C:\Users\Домашний\AppData\Local\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll
2016-09-02 11:41 - 2017-01-18 22:41 - 4167384 _____ (Mail.Ru) C:\Users\Домашний\AppData\Local\Temp\mrutmp.exe
2015-03-26 12:12 - 2015-03-26 12:12 - 6359576 _____ (AVG Technologies) C:\Users\Домашний\AppData\Local\Temp\oi_{BCCF4D40-997F-46A0-BD19-35173F12171F}.exe
Task: {19DDA5A8-4BBA-4C29-B873-EB6E20F82C61} - System32\Tasks\Open Chrome => Chrome.exe --new-window hxxp://toolbar.avg.com/almost-done?pid=avg&lang=ru
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • in-digp
      Вирус Trojan-Ransom.Win32.Limbozar.gen зашифровал документы и системные файлы
      От in-digp
      Добрый день!

      Прошу помощи с расшифровкой документов.

      На компьютере не запускается Autologger, ошибка - "Приложение не найдено", видимо повреждены системные файлы. Вытащил системный диск, проверил на другом компьютере Kaspersky Virus removal tool - нашёлся один файл с вирусом Trojan-Ransom.Win32.Limbozar.gen

      В архиве примеры зашифрованных файлов и сообщение о выкупе.
      Files.zip
    • Guest239410
      Зашифрованы файлы, помогите расшифровать
      От Guest239410
      Добрый день, АРМ был заражен вирусом
       
      помогите расшифровать файлы БД.
    • majkvolk
      Помощь в расшифровке файлов.
      От majkvolk
      Здравствуйте. Пару дней назад ПК был заражён вирусом, вероятно через RDP. Если это возможно, прошу помочь в расшифровке файлов.  Ниже прикрепил пример заражённых файлов. Так же есть пример заражённого файла и его рабочая версия, присланная вымогателем в подтверждения "честности" (их общий вес 12,5 МБ).
      FRST.txt Addition.txt файлы.rar
    • Sergei64
      Зашифрованные файлы hopeandhonest@smime.ninja[EFD76FE2-DE8F1DE4]
      От Sergei64
      Добрый день. Несколько месяцев назад поймал вирус и файлы на нескольких дисках были зашифрованы. После этого система была переустановлена. Сейчас понадобился доступ к этим файлам. 
      Вы могли бы подсказать или дать интсрукции что возможно сделать? 
      Прикрепляю пару небольших зашифрованных файлов и файл с требованиями злоумышленников.
      пример.7z
    • Egor2egor
      ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ .kd8eby0.14D-4A0-6BE
      От Egor2egor
      Добрый вечер. Словил какого-то шифровальщика (.ZEPPELIN - появился такой файл вместе с зашифроваными файлами, которые стали формата .kd8eby0.14D-4A0-6BE) не знаю что делать. Используем ваше лицензионное ПО. Текст для выкупа следующий:
       
      ======
      !!! ALL YOUR FILES ARE ENCRYPTED !!!
      All your files, documents, photos, databases and other important files are encrypted.
      You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
      Only we can give you this key and only we can recover your files.
      To be sure we have the decryptor and it works you can send an email: lingon1@onionmail.com and decrypt one file for free.
      But this file should be of not valuable!
      Do you really want to restore your files?
      Write to email: lingon1@onionmail.com
      Reserved email: kd8eby0@nuke.africa
      In case of no answer in 24 hours write us to this e-mail: kd8eby0@inboxhub.net
      Your personal ID: 14D-4A0-6BE
      Attention!
       * Do not rename encrypted files.
       * Do not try to decrypt your data using third party software, it may cause permanent data loss.
       * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
      ======
      etovirus.Zeppelin.rar file.rar
×
×
  • Создать...