Перейти к содержимому


Фотография
- - - - -

Шифровальщик

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 11

#1 OFF   eurospeed

eurospeed

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 19 Июнь 2018 - 10:03

Поймали шифровальщик. 

 

В текстовом файле написали, что нужно оплатить для расшифровки.

 

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
 
Ваш личный идентификатор
6A020000000000007503CB841D91D911C04008425BC203D4FE1B0B9BBF6447E481202B3AB88902B47DBA59A6E6E2120931F6
544926580A4ACCE35DECB0539D650D3B3C98CABBCDF4BA2E55304E195B43945F2D89632FEDB6001704327B0776E4E5EC3657
784A7997B71A08D4E8AEA5E658B4EB594335CD34D5308FB132BA766589A63DD3C6A97EB9D29BAAFB7E584DFCCECCC88AF4CC
0B73EBB86544DD2E77D220B18830C74C0A3715EA2D2259FEC9309211ED38B0F28F9D9D133355F3725E54190670912AFB99C8
1D60EC5B8EE7B7AD2ADEB4C95B2F50B971D2AB9302C7411D57C7A8CBCC353026C823AE61B0D99B43B861B3E116631F2F6BA5
A919FEC69975C35574E7CAD903BF1DB553987273310C673AC9991CC207F0C11B769CBC6CBA794935ADA51314D42FE9BB9D97
F80CE31EB5E5C3FADF2F014BDD837531D199F800
 
Ваши документы, фотографии, базы данных и другие важные данные были зашифрованы.
Для восстановления данных необходим дешифровщик.
Чтобы получить дешифровщик, следует отправить письмо на электронный адрес soft2018@tutanota.com (soft2018@mail.ee, newsoft2018@yandex.by)
В письме укажите Ваш личный идентификатор (см. в начале данного документа).
 
Если связаться через почту не получается
 * Зарегистрируйтесь на сайте http://bitmsg.me(сервис онлайн отправки Bitmessage)
 * Напишите письмо на адрес BM-2cWp6BhKATEHEyfi1CGG4k3RuquXjaGJXB с указанием Вашей почты и
личного идентификатора
 
Далее необходимо оплатить стоимость дешифровщика. В ответном письме Вы получите адрес
Bitcoin-кошелька, на который необходимо выполнить перевод денежных средств и сумму платежа.
 
Если у Вас нет биткойнов
 * Создайте кошелек Bitcoin: https://blockchain.info/ru/wallet/new
 * Приобретите криптовалюту Bitcoin:
   https://localbitcoin...ru/buy_bitcoins(Visa/MasterCard, QIWI Visa Wallet и др.)
 * Отправьте требуемое количество BTC на указанный в письме адрес
 
Когда денежный перевод будет подтвержден, Вы получите дешифровщик файлов для Вашего компьютера.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
 
Гарантия расшифровки файлов.
Перед оплатой вы можете отправить нам до 3х файлов для бесплатной расшифровки. 
Они не должны содержать важную информацию, общий размер файлов должен быть не более 10 мб.
 
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
 
 

Прикрепленные файлы


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 366

Награды

           

Отправлено 19 Июнь 2018 - 10:10

Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Bugrova.GSNNO\AppData\Roaming\INT\MSVFW32.dll','');
 QuarantineFile('C:\Users\Bugrova.GSNNO\AppData\Roaming\fgjokov.dll','');
 QuarantineFile('C:\Users\Bugrova.GSNNO\AppData\Local\Temp\UeIqC\tv.dll','');
 DeleteFile('C:\Users\Bugrova.GSNNO\AppData\Local\Temp\UeIqC\tv.dll','32');
 DeleteFile('C:\Users\Bugrova.GSNNO\AppData\Roaming\fgjokov.dll','32');
 DeleteFile('C:\Users\Bugrova.GSNNO\AppData\Roaming\INT\MSVFW32.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eqcailz');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).


Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   eurospeed

eurospeed

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 19 Июнь 2018 - 11:32

Письмо с файлом quarantine.zip отправили по адресу newvirus@kaspersky.com, ждем ответа.

 

Новый лог прикрепили к сообщению.


KLAN-8251823377

 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В следующих файлах обнаружен вредоносный код:

MSVFW32.dll - Trojan.Win32.Agent2.jtkr

fgjokov.dll - Trojan.Win32.Dimnie.rg

 

В антивирусных базах информация по присланным вами файлам отсутствует:

tv.dll

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

     

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

"Ленинградское шоссе 39A/3, Москва, 125212, Russia

Телефон/Факс: + 7 (495) 797 8700

http://www.kaspersky.com https://www.securelist.com"

Прикрепленные файлы


  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 366

Награды

           

Отправлено 19 Июнь 2018 - 11:33

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   eurospeed

eurospeed

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 19 Июнь 2018 - 11:44

Прикрепляем файл FRST.txt и Addition.txt

Прикрепленные файлы

  • Прикрепленный файл  Frst.rar   17,1К   скачиваний 2

  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 366

Награды

           

Отправлено 19 Июнь 2018 - 11:50

TeamViewer 12.0.72365 RePack (& Portable) by elchupakabra сами устанавливали на компьютер?
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#7 OFF   eurospeed

eurospeed

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 19 Июнь 2018 - 11:53

Да.


  • 0

#8 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 366

Награды

           

Отправлено 19 Июнь 2018 - 14:29

1. Откройте Блокнот и скопируйте в него приведенный ниже текст
CreateRestorePoint:
2018-06-19 08:38 - 2018-06-19 08:42 - 000002440 _____ C:\Users\Bugrova.GSNNO\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 08:28 - 2018-06-19 08:43 - 000002440 _____ C:\Users\Bugrova.GSNNO\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-04-26 17:30 - 2018-06-19 10:54 - 000000000 ___HD C:\Users\Bugrova.GSNNO\AppData\Roaming\INT
C:\Users\Bugrova.GSNNO\AppData\Local\Temp\UeIqC
Startup: C:\Users\Bugrova.GSNNO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HQ-Realtek АС 3.9.4.738.lnk [2018-05-04]
ShortcutTarget: HQ-Realtek АС 3.9.4.738.lnk -> C:\Users\Bugrova.GSNNO\AppData\Local\Temp\UeIqC\TeamViewer.exe (TeamViewer GmbH)
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#9 OFF   eurospeed

eurospeed

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 19 Июнь 2018 - 14:49

Прикрепляем fixlog.txt

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   1,93К   скачиваний 0

  • 0

#10 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 366

Награды

           

Отправлено 19 Июнь 2018 - 15:00

С расшифровкой помочь не сможем
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#11 OFF   eurospeed

eurospeed

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 19 Июнь 2018 - 16:00

Се ля ви. Все же спасибо за помощь.


  • 0

#12 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 366

Награды

           

Отправлено 19 Июнь 2018 - 16:17

Попробуйте восстановить информацию из теневых копий, если таковые имеются
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных