Перейти к содержимому


Фотография
- - - - -

Зашифровано email-ferrlock@cock.li.ver-CS 1.7.id-.fname-***.cs16

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 18

#1 OFF   katranx

katranx

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 24 Сентябрь 2019 - 10:37

Здравствуйте все, кто может помочь.

Видимо получив доступ по RDP удалили антивирус drweb и зашифровали файлы

Стали такого вида email-ferrlock@cock.li.ver-CS 1.7.id-.fname-***.cs16

 

Может ли кто-то помочь?

Файлы и отчеты здесь https://yadi.sk/d/TNWP_igRLIjs1g

 

Поддержка drweb помочь не может


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 228

Отправлено 24 Сентябрь 2019 - 11:10

Здравствуйте!

1. Логи выкладывайте сюда через Расширенную форму - Загрузить файл.
2. Если есть записка с требованием выкупа, ее тоже прикрепите.
3. Логи нужны другие - Порядок оформления запроса о помощи
  • 0
Изображение

#3 OFF   katranx

katranx

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 24 Сентябрь 2019 - 11:40

Правильные логи

И пример зашифрованных файлов

Прикрепленные файлы


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 228

Отправлено 24 Сентябрь 2019 - 11:57

Если есть записка с требованием выкупа

Подразумевался один из файлов README.txt

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#5 OFF   katranx

katranx

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 24 Сентябрь 2019 - 13:36

Сделано.

Файл с мейлом тоже в аттаче


 

Если есть записка с требованием выкупа

Подразумевался один из файлов README.txt

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   24,28К   скачиваний 1
  • Прикрепленный файл  FRST.txt   107,23К   скачиваний 1
  • Прикрепленный файл  README.txt   88байт   скачиваний 1
  • Прикрепленный файл  Addition.txt   24,28К   скачиваний 0
  • Прикрепленный файл  FRST.txt   107,23К   скачиваний 1
  • Прикрепленный файл  README.txt   88байт   скачиваний 0

  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 228

Отправлено 24 Сентябрь 2019 - 15:00

Пользователя

admin (S-1-5-21-3699417323-3432533660-1855583266-1001 - Administrator - Enabled) => C:\Users\admin

если не сами создавали, удалите.

Далее:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Администратор\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Администратор\Downloads\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Администратор\Documents\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Администратор\Desktop\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Администратор\AppData\Roaming\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Администратор\AppData\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Администратор\AppData\Local\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Public\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Public\Downloads\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\jurist\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\jurist\Downloads\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\jurist\Documents\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\jurist\Desktop\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\jurist\AppData\Roaming\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\jurist\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\jurist\AppData\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\jurist\AppData\LocalLow\README.txt
    2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\README.txt
    2019-09-24 00:16 - 2019-09-24 00:16 - 000000088 ____C C:\Users\gljurist\README.txt
    2019-09-24 00:16 - 2019-09-24 00:16 - 000000088 _____ C:\Users\jurist\AppData\Local\README.txt
    2019-09-24 00:16 - 2019-09-24 00:16 - 000000088 _____ C:\Users\jurist\AppData\Local\Apps\README.txt
    2019-09-24 00:16 - 2019-09-24 00:16 - 000000088 _____ C:\Users\gljurist\Downloads\README.txt
    2019-09-24 00:16 - 2019-09-24 00:16 - 000000088 _____ C:\Users\gljurist\Documents\README.txt
    2019-09-24 00:16 - 2019-09-24 00:16 - 000000088 _____ C:\Users\gljurist\Desktop\README.txt
    2019-09-24 00:16 - 2019-09-24 00:16 - 000000088 _____ C:\Users\gljurist\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-09-24 00:10 - 2019-09-24 00:10 - 000000088 ____C C:\Users\gljurist\AppData\README.txt
    2019-09-24 00:10 - 2019-09-24 00:10 - 000000088 _____ C:\Users\gljurist\AppData\Roaming\README.txt
    2019-09-24 00:10 - 2019-09-24 00:10 - 000000088 _____ C:\Users\gljurist\AppData\LocalLow\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\gljurist\AppData\Local\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default\Downloads\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default\Documents\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default\Desktop\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default\AppData\Roaming\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default\AppData\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default\AppData\Local\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default User\Downloads\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default User\Documents\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default User\Desktop\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default User\AppData\Roaming\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default User\AppData\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default User\AppData\Local\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\admin\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\admin\Downloads\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\admin\Documents\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\admin\Desktop\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\admin\AppData\Roaming\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\admin\AppData\README.txt
    2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\admin\AppData\LocalLow\README.txt
    2019-09-23 23:58 - 2019-09-24 00:20 - 000000802 ____C C:\Users\Все пользователи\README.txt
    2019-09-23 23:58 - 2019-09-24 00:20 - 000000802 ____C C:\ProgramData\README.txt
    2019-09-23 23:58 - 2019-09-24 00:20 - 000000802 _____ C:\Users\Public\Documents\email-ferrlock@cock.li.ver-CS 1.7.id-.fname-README.txt.cs16
    2019-09-23 23:58 - 2019-09-24 00:20 - 000000802 _____ C:\Users\Public\Desktop\email-ferrlock@cock.li.ver-CS 1.7.id-.fname-README.txt.cs16
    2019-09-23 23:58 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Public\Documents\README.txt
    2019-09-23 23:58 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Public\Desktop\README.txt
    2019-09-23 23:58 - 2019-09-23 23:59 - 000000802 ____C C:\Users\Все пользователи\email-ferrlock@cock.li.ver-CS 1.7.id-.fname-README.txt.cs16
    2019-09-23 23:58 - 2019-09-23 23:59 - 000000802 ____C C:\ProgramData\email-ferrlock@cock.li.ver-CS 1.7.id-.fname-README.txt.cs16
    2019-09-23 23:58 - 2019-09-23 23:58 - 000000088 ____C C:\Users\admin\AppData\Local\README.txt
    2019-09-23 23:58 - 2019-09-23 23:58 - 000000088 ____C C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-09-23 23:58 - 2019-09-23 23:58 - 000000088 ____C C:\Program Files\README.txt
    2019-09-23 23:56 - 2019-09-23 23:56 - 000000088 ____C C:\Program Files\Common Files\README.txt
    2019-09-23 23:55 - 2019-09-24 00:20 - 000000802 ____C C:\Users\email-ferrlock@cock.li.ver-CS 1.7.id-.fname-README.txt.cs16
    2019-09-23 23:55 - 2019-09-24 00:20 - 000000088 ____C C:\Users\README.txt
    2019-09-23 23:51 - 2018-01-15 02:56 - 000000028 _____ C:\Users\gljurist\Desktop\Shadow.bat
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
  • 0
Изображение

#7 OFF   katranx

katranx

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 24 Сентябрь 2019 - 15:23

Sandor

 

[mod='Mark D. Pearlstone']Чрезмерное цитирование удалено.[/mod]

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   11,99К   скачиваний 1

  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 228

Отправлено 24 Сентябрь 2019 - 15:30

Цитировать все предыдущее сообщение не нужно.
Некоторое время подождите.
  • 0
Изображение

#9 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 791

Награды

           

Отправлено 24 Сентябрь 2019 - 20:39

Без тела шифровальщика сказать что-то определенное о возможности расшифровки не получится.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#10 OFF   katranx

katranx

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 24 Сентябрь 2019 - 21:49

Без тела шифровальщика сказать что-то определенное о возможности расшифровки не получится.

Всё что смог найти

Прикрепленные файлы


  • 0

#11 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 791

Награды

           

Отправлено 24 Сентябрь 2019 - 21:55

Замечательно. Шифратор есть в архиве.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#12 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 791

Награды

           

Отправлено 25 Сентябрь 2019 - 00:13

Увы, порадовать нечем. В этой версии авторы прикрыли дыру, которая была в предыдущем варианте.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#13 OFF   katranx

katranx

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 25 Сентябрь 2019 - 07:50

Эхх ,я думал что наличие самого злодея поможет...

Столько информации потеряно.

Не знаете сколько эти гады требуют за дешифровку?


  • 0

#14 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 791

Награды

           

Отправлено 25 Сентябрь 2019 - 13:05

Не знаю.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#15 OFF   katranx

katranx

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 25 Сентябрь 2019 - 13:59

Не знаю.

Я уже знаю)) 70000 т.р. написал. Руссиш товарищ.

 

Значит нет никакой надежды на расшифровку?


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных