Перейти к содержанию

Зашифровались данные


Рекомендуемые сообщения

Добрый день!

С утра на сервере обнаружили, что зашифровались все данные. Все зашифрованные файлы получили дополнение в названии в виде "id-10F0CB52.[easydecrypt666@cock.li].PLUT". К сожалению архивов не было. Пожалуйста, помогите расшифровать,

Ранее был уже топик от пользователя "italon" на который отвечал модератор "thyrex". Написали, что смогли расшифровать данные. По описанию схожая проблема. 

 

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Порядок оформления запроса о помощи

 

Дополнительно пару небольших зашифрованных офисных документа вместе с запиской о выкупе упакуйте в архив и тоже прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Порядок оформления запроса о помощи

 

Дополнительно пару небольших зашифрованных офисных документа вместе с запиской о выкупе упакуйте в архив и тоже прикрепите к следующему сообщению.

дело в том, что офисных документов там нет. есть 4 базы субд. Записка о выкупе в виде картинки всплывающей только. попробую скрин сделать.

Здравствуйте!

 

Порядок оформления запроса о помощи

 

Дополнительно пару небольших зашифрованных офисных документа вместе с запиской о выкупе упакуйте в архив и тоже прикрепите к следующему сообщению.

прикрепил два текстовых файла и файл от злоумышленников, который на рабочем столе было

virus.zip

Ссылка на комментарий
Поделиться на другие сайты

Тип вымогателя Dharma (.cezar Family), расшифровки нет. Будет только лечение и очистка следов.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Dfori.exe');
 TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Opaxo.exe');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Dfori.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Opaxo.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Uqiqu\lnterrupts.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\amm\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\amm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 QuarantineFile('c:\windows\system32\wbem\123.bat', '');
 DeleteSchedulerTask('Microsoft\Windows\EntityFramework\NetFramework');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Dfori.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Opaxo.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Uqiqu\lnterrupts.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\amm\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\amm\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\amm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteFile('c:\windows\system32\wbem\123.bat', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\amm\AppData\Roaming\Info.hta', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start', 'command', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BGClients', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\amm\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

Тип вымогателя Dharma (.cezar Family), расшифровки нет. Будет только лечение и очистка следов.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Dfori.exe');
 TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Opaxo.exe');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Dfori.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Opaxo.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Uqiqu\lnterrupts.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\amm\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\amm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 QuarantineFile('c:\windows\system32\wbem\123.bat', '');
 DeleteSchedulerTask('Microsoft\Windows\EntityFramework\NetFramework');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Dfori.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Oyaxagepa\Opaxo.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Uqiqu\lnterrupts.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\amm\AppData\Roaming\Info.hta', '32');
 DeleteFile('C:\Users\amm\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\amm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteFile('c:\windows\system32\wbem\123.bat', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\amm\AppData\Roaming\Info.hta', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start', 'command', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BGClients', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\amm\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

удалить следы и лечение в моем случае просто - удалением самого сервера. Вопрос именно в возможности расшифровки.

Ссылка на комментарий
Поделиться на другие сайты

скрипт в avz выполнил, сервер перезагрузил.




Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).

номер KL - это номер лицензии или что?

 

Ссылка на комментарий
Поделиться на другие сайты

Это номер, который идентифицирует номер обращения в вирлаб. Он приходит в теме письма из вирлаба.

я оформлял заявку через личный кабинет на касперском. там присудили номер INC000010825016 - его отправлять?

Ссылка на комментарий
Поделиться на другие сайты

Нет. В письме из вирлаба должен быть номер KLAN, в ответ на отправленный вами карантин.

 

Не дожидаясь этого ответа, вы можете

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

в итоге оплатили некую сумму и прислали дешифровку.... скопировал нужные файлы, проверил с помощью всех доступных антивирусов и перенес на новую машину. старую просто удалил

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Alkart1975
      Автор Alkart1975
      Здравствуйте.
      Зловред зашифровал битлокером несистемный диск. Злоумышленники просят выкуп на почту davidblaine@mail2world.com и bitlockerlock.unlock@gmail.com
      С диска С удалены файлы баз данных и документы. На компьютере несколько пользователей. 
      На рабочем столе одного из пользователей оставлен файл PLEASE READ с требованием оплаты.
      Прошу помощи. Возможно ли расшифровать диск? Или восстановить файлы баз данных 1С. 
      Addition.txt FRST.txt PLEASE READ.txt
    • Zakot
      Автор Zakot
      На сервере вчера вирус зашифровал данные, возможно через RDP попал, сегодня обнаружили.
      virus.zipFRST.txtAddition.txt
    • sanka
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
    • KL FC Bot
      Автор KL FC Bot
      7 июля 2025 года Google выпустила обновление Gemini, которое дает AI-помощнику доступ к приложениям Phone, Messages, WhatsApp и Utilities на Android-устройствах. Компания анонсировала это событие e-mail-рассылкой пользователям своего чат-бота, которых просто поставили перед фактом: «Мы упростили взаимодействие Gemini с вашим устройством… Gemini скоро сможет помочь вам использовать «Телефон», «Сообщения», WhatsApp и «Утилиты» на вашем телефоне, независимо от того, включена ли ваша активность приложений Gemini или нет».
      С точки зрения Google, обновление улучшает приватность, поскольку теперь пользователям доступны функции Gemini без необходимости включать Gemini Apps Activity. Удобно, не правда ли?
       
      View the full article
    • Media-Box
      Автор Media-Box
      Помогите пожалуйста😪 У меня также шифровальщик проник на два компьютера. Практически 11Тб фильмов и сериалов были испорчены. Это потеря потерь
      Файлы.zip
       
      Сообщение от модератора kmscom Сообщение перенесено из темы KOZANOSTRA зашифровано 2 ПК
×
×
  • Создать...