Перейти к содержанию

Зашифрованы данные через RDP Billy_will_help_you@protonmail.com

zxcnick
 Поделиться

Рекомендуемые сообщения

zxcnick

zxcnick

Опубликовано
Опубликовано

Решил настроить между домом и офисом RDP. Настроил порты включил все "разрешалки", попользовался и забыл, через несколько дней обнаружил что стоит не мой пароль "на вход". Путем инструкций через интернет пароли были сброшены. Браузер "google chrome' не запускался и нужные мне документы оказались зашифрованы.

файл протоколов приткладываю.

CollectionLog-2018.08.09-03.48.zip

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

HiJackThis (из каталога autologger)профиксить

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.2345.com/?ktonyde
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://www.2345.com/?ktonyde



- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
SQ

SQ

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
File: C:\Program Files (x86)\Paragon Software\HFS+ for Windows\apmwinsrv.exe
File: C:\Windows\System32\MsSpellCheckingFacility.exe
HKU\S-1-5-21-1005186238-1470946419-2858201406-1000\...\MountPoints2: {effba4df-e023-11e7-9ed1-1c497bb22889} - D:\ZUK_UsbDriver_1.0.6.exe
HKU\S-1-5-21-1005186238-1470946419-2858201406-1000\...\MountPoints2: {effba4e4-e023-11e7-9ed1-1c497bb22889} - D:\ZUK_UsbDriver_1.0.6.exe
HKU\S-1-5-21-1005186238-1470946419-2858201406-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?ktonyde
HKU\S-1-5-21-1005186238-1470946419-2858201406-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.2345.com/?ktonyde
FF Plugin-x32: @t.garena.com/garenatalk -> C:\Program Files (x86)\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll [No File]
CHR HKU\S-1-5-21-1005186238-1470946419-2858201406-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
File: C:\Windows\System32\alg.exe
File: C:\Windows\System32\eapsvc.dll
2018-08-05 01:21 - 2018-08-08 19:47 - 000001202 _____ C:\Windows\ReadMe_Decryptor.txt
2018-08-05 00:35 - 2018-08-05 00:47 - 000003400 _____ C:\Users\macbro\AppData\Roaming\Info.hta.[Billy_will_help_you@protonmail.com].java
2018-08-05 00:35 - 2018-08-05 00:35 - 000000601 _____ C:\ReadMe_Decryptor.txt
2018-08-05 00:34 - 2018-08-05 00:34 - 000000601 _____ C:\Users\macbro\ReadMe_Decryptor.txt
2018-08-05 00:33 - 2018-08-08 19:24 - 000001202 _____ C:\Users\macbro\AppData\Roaming\ReadMe_Decryptor.txt
2018-08-05 00:33 - 2018-08-05 00:33 - 000000601 _____ C:\Users\macbro\Downloads\ReadMe_Decryptor.txt
2018-08-04 22:44 - 2018-08-04 22:44 - 000000601 _____ C:\Users\macbro\Documents\ReadMe_Decryptor.txt
Folder: C:\flexlm
2018-08-08 19:24 - 2018-08-08 19:24 - 000003400 _____ () C:\Users\macbro\AppData\Roaming\Info.hta
2018-08-05 00:35 - 2018-08-05 00:47 - 000003400 _____ () C:\Users\macbro\AppData\Roaming\Info.hta.[Billy_will_help_you@protonmail.com].java
2018-08-05 00:33 - 2018-08-08 19:24 - 000001202 _____ () C:\Users\macbro\AppData\Roaming\ReadMe_Decryptor.txt
2018-05-15 19:47 - 2018-05-15 19:47 - 049930168 _____ (Sony) C:\Users\macbro\AppData\Local\Temp\xcs17B7.tmp.exe
AlternateDataStreams: C:\Users\Public\DRM:احتضان [98]
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
SQ

SQ

Опубликовано
Опубликовано

К сожалению с расшифровокй не поможем. Если у Вас есть действующая лицензия на продукты Лаборатории Касперского, то пробуйте выполнить следующие инструкции.

https://forum.kasperskyclub.ru/index.php?showtopic=48525

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Андрей Ливанов
      Помогите, поймали шифровальщика cryptmanager@protonmail.com.parrot
      Автор Андрей Ливанов
      есть ли шансы какие-нибудь? предыдущий админ не бекапился...
      CollectionLog-2018.10.29-17.51.zip
    • sanka
      Шифровальщик Trojan-Ransom.Win32.Encoder.sg
      Автор sanka
      Добрый день! Просьба помочь с расшифровкой файлов (или с зачисткой следов).
       
      После каких действий появился вирус, я затрудняюсь сказать.
       
      К именам зашифрованных файлов добавлено [cryptmanager@protonmail.com].parrot.
       
      KVRT определил вирус как Trojan-Ransom.Win32.Encoder.sg, лежал по пути c:\users\<имя пользователя>\AppData\Roaming\Marvel.exe
      CollectionLog-2018.09.25-21.05.zip
    • Saney
      Billy_will_help_you@protonmail.com
      Автор Saney
      @SQ, 
       
      здравствуйте.
       та же проблема с "Billy_will_help_you@protonmail.com"
       
      ничем не сможете помочь?
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы
    • not-lamer
      Morvan.exe шифровальщик
      Автор not-lamer
      Добрый день.
       
      Похоже пользователь запустил с правами администратора червя. Бесплатный Аваст не среагировал.
       
      Есть возможность дешифровать файлы?
       
      Логи  Farbar Recovery Scan Tool  и архив шифрованного файла прикрепил.
       
      Заранее спасибо за ответ!
      Addition.txt
      FRST.txt
      ReadMe_Decryptor.txt
      version.txt.Billy_will_help_you@protonmail.com.rar
    • francyz
      Шифровальщик [kinaman@protonmail.com].dcrtr
      Автор francyz
      Добрый день! Зашифровало все файлы в системе под именем ***.[kinaman@protonmail.com].dcrtr. Сам шифровальщик уже вылечили. Можно ли расшифровать как-то файлы? Спасибо
×
×
  • Создать...