Перейти к содержимому


Фотография
- - - - -

Win server 2008 поймал шифровальщика

server 2008 шифровальщик

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


Сообщений в теме: 24

#1 OFF   Tehnor

Tehnor

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 11 Октябрь 2019 - 06:26

ОС Wndows 2008 r2. Сегодня ночью поймал шифровальщика. В это время ни кто с этим компьютером не работал. Заражение произошло в 00.50 часов. Зашифрованные файлы имею расширение Email%3D%5BRestoreData%40airmail.cc%5DID%3D%5Bhlk7CIL0UydOwrV%5D.James

Прикрепленные файлы


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 11 Октябрь 2019 - 06:51

Заражение произошло в 00.50 часов

стало быть зашли по RDP, подобрав несложный пароль.

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   Tehnor

Tehnor

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 11 Октябрь 2019 - 07:06

Инструкцию выполнил. Файлы во вложении.


Извините, не создал архив.

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   31,1К   скачиваний 0
  • Прикрепленный файл  FRST.txt   124,13К   скачиваний 1
  • Прикрепленный файл  pack.zip   22,86К   скачиваний 1

  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 11 Октябрь 2019 - 10:37

Содержимое файла C:\ProgramData\info.txt процитируйте.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   Tehnor

Tehnor

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 11 Октябрь 2019 - 10:43

Содержимое файла C:\ProgramData\info.txt процитируйте.

wIp0A2cB15Cvrh6
RestoreData@airmail.cc


  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 11 Октябрь 2019 - 11:40

C:\Users\Администратор\Desktop\svchost.exe или C:\Users\Администратор\Documents\svchost.exe заархивируйте с паролем virus, выложите на sendspace.com и пришлите ссылку на скачивание мне в личные сообщения.

1. Выделите следующий код:
Start::
CreateRestorePoint:
2019-10-11 01:07 - 2019-10-11 01:07 - 000033280 _____ () C:\Users\Все пользователи\uiapp.exe
2019-10-11 01:07 - 2019-10-11 01:07 - 000033280 _____ () C:\ProgramData\uiapp.exe
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Windows\SysWOW64\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Windows\SysWOW64\Drivers\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Windows\Minidump\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Windows\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Администратор\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Администратор\Downloads\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Администратор\Documents\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Администратор\Desktop\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Администратор\AppData\Roaming\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Администратор\AppData\LocalLow\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Администратор\AppData\Local\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Администратор\AppData\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User9\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User9\Downloads\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User9\Documents\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User9\Desktop\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User9\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User9\AppData\Roaming\Microsoft\Windows\Start Menu\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User9\AppData\Roaming\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User9\AppData\LocalLow\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User9\AppData\Local\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User9\AppData\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User8\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User8\Downloads\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User8\Documents\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User8\Desktop\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User8\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User8\AppData\Roaming\Microsoft\Windows\Start Menu\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User8\AppData\Roaming\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User8\AppData\LocalLow\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User8\AppData\Local\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User8\AppData\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User7\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User7\Downloads\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User7\Documents\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User7\Desktop\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User7\AppData\Roaming\Microsoft\Windows\Start Menu\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User7\AppData\Roaming\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User7\AppData\LocalLow\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User7\AppData\Local\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User7\AppData\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User6\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User6\Downloads\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User6\Documents\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User6\Desktop\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User6\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User6\AppData\Roaming\Microsoft\Windows\Start Menu\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User6\AppData\Roaming\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User6\AppData\LocalLow\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User6\AppData\Local\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User6\AppData\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User5\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User5\Downloads\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User5\Documents\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User5\Desktop\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User5\AppData\Roaming\Microsoft\Windows\Start Menu\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User5\AppData\Roaming\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User5\AppData\LocalLow\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User5\AppData\Local\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User5\AppData\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User4\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User4\Downloads\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User4\Documents\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User4\Desktop\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User4\AppData\Roaming\Microsoft\Windows\Start Menu\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User4\AppData\Roaming\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User4\AppData\LocalLow\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User4\AppData\Local\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User4\AppData\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User3\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User3\Downloads\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User3\Documents\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User3\Desktop\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User3\AppData\Roaming\Microsoft\Windows\Start Menu\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User3\AppData\Roaming\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User3\AppData\LocalLow\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User3\AppData\Local\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User3\AppData\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User2\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User2\Downloads\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User2\Documents\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User2\Desktop\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User2\AppData\Roaming\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User2\AppData\LocalLow\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User2\AppData\Local\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User2\AppData\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User10\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User10\Downloads\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User10\Documents\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User10\Desktop\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User10\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User10\AppData\Roaming\Microsoft\Windows\Start Menu\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User10\AppData\Roaming\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User10\AppData\LocalLow\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User10\AppData\Local\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User10\AppData\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User1\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User1\Downloads\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User1\Documents\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User1\Desktop\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User1\AppData\Roaming\Microsoft\Windows\Start Menu\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User1\AppData\Roaming\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User1\AppData\LocalLow\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User1\AppData\Local\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\User1\AppData\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Public\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Public\Downloads\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Default\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Default\Downloads\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Default\Documents\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Default\Desktop\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Default\AppData\Roaming\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Default\AppData\Local\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Default\AppData\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Default User\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Default User\Downloads\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Default User\Documents\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Default User\Desktop\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Default User\AppData\Roaming\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Default User\AppData\Local\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Default User\AppData\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\administrators\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\administrators.SERVER2008\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\administrators.SERVER2008\Downloads\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\administrators.SERVER2008\Documents\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\administrators.SERVER2008\Desktop\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\administrators.SERVER2008\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\administrators.SERVER2008\AppData\Roaming\Microsoft\Windows\Start Menu\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\administrators.SERVER2008\AppData\Roaming\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\administrators.SERVER2008\AppData\LocalLow\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\administrators.SERVER2008\AppData\Local\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\administrators.SERVER2008\AppData\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Admin\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Admin\Downloads\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Admin\Documents\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Admin\Desktop\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Admin\AppData\Roaming\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Admin\AppData\LocalLow\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Admin\AppData\Local\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\Users\Admin\AppData\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToDecrypt.txt
2019-10-11 01:06 - 2019-10-11 01:06 - 000000808 ____R C:\ProgramData\Microsoft\Windows\Start Menu\HowToDecrypt.txt
2019-10-11 01:05 - 2019-10-11 01:05 - 000000808 ____R C:\Users\Все пользователи\HowToDecrypt.txt
2019-10-11 01:05 - 2019-10-11 01:05 - 000000808 ____R C:\Users\Все пользователи\Documents\HowToDecrypt.txt
2019-10-11 01:05 - 2019-10-11 01:05 - 000000808 ____R C:\Users\Все пользователи\Desktop\HowToDecrypt.txt
2019-10-11 01:05 - 2019-10-11 01:05 - 000000808 ____R C:\Users\Public\Documents\HowToDecrypt.txt
2019-10-11 01:05 - 2019-10-11 01:05 - 000000808 ____R C:\Users\Public\Desktop\HowToDecrypt.txt
2019-10-11 01:05 - 2019-10-11 01:05 - 000000808 ____R C:\Users\HowToDecrypt.txt
2019-10-11 01:05 - 2019-10-11 01:05 - 000000808 ____R C:\ProgramData\HowToDecrypt.txt
2019-10-11 01:05 - 2019-10-11 01:05 - 000000808 ____R C:\ProgramData\Documents\HowToDecrypt.txt
2019-10-11 01:05 - 2019-10-11 01:05 - 000000808 ____R C:\ProgramData\Desktop\HowToDecrypt.txt
2019-10-11 01:05 - 2019-10-11 01:05 - 000000808 ____R C:\Program Files\HowToDecrypt.txt
2019-10-11 01:05 - 2019-10-11 01:05 - 000000808 ____R C:\Program Files\Common Files\HowToDecrypt.txt
2019-10-11 01:05 - 2019-10-11 01:05 - 000000808 ____R C:\Program Files (x86)\HowToDecrypt.txt
2019-08-27 19:15 - 2019-08-28 11:02 - 004608000 _____ (www.xmrig.com) C:\Windows\XMRig CPU mine.exe
2019-08-27 19:15 - 2019-08-28 11:02 - 002225152 _____ (www.xmrig.com) C:\Windows\xmrig-notls.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: перезагрузку компьютера выполните вручную после этого скрипта.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#7 OFF   Tehnor

Tehnor

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 11 Октябрь 2019 - 11:55

C:\Users\Администратор\Desktop\svchost.exe или C:\Users\Администратор\Documents\svchost.exe

Этого файла нет по указанным путям.

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   31,3К   скачиваний 0

  • 0

#8 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 11 Октябрь 2019 - 15:10

Эти файлы скрытые. Включите показ таких файлов в настройках системы.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#9 OFF   Tehnor

Tehnor

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 11 Октябрь 2019 - 15:12

Я проверил скрытые файлы


  • 0

#10 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 11 Октябрь 2019 - 15:23

1. Выделите следующий код:
Start::
CreateRestorePoint:
zip: C:\Users\Администратор\Desktop\svchost.exe;C:\Users\Администратор\Documents\svchost.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


На Рабочем столе должен появиться архив вида Date_Time.zip. Прикрепите его к следующему сообщению.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#11 OFF   Tehnor

Tehnor

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 11 Октябрь 2019 - 16:00

Я выполнил лог

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   942байт   скачиваний 1

  • 0

#12 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 11 Октябрь 2019 - 16:24

Ищите пару - шифрованный_файл и оригинал_до_шифрования - одного и того же файла и прикрепите в архиве к сообщению.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#13 OFF   Tehnor

Tehnor

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 11 Октябрь 2019 - 16:52

такой пары нет. оба диска  сервера заражены.


может выйти с ними на связь. чтобы расшифровали файл?


они предлагали это сделать при покупке кода


только то письмо волшебным образом исчезло из почтового ящика


осталось только

On 2019-10-11 15:40, Сервисный центр АНАЛИТ wrote:
> мне нужен только один файл на этом
> компьютере
> укажи реальный ценник
>
>> Пятница, 11 октября 2019, 19:53 +08:00 от
>> restoredata@airmail.cc:
>>
>> On 2019-10-11 15:04, Сервисный центр АНАЛИТ
>> wrote:
>>> The amount is too big for me
>>>
>>>> Пятница, 11 октября 2019, 18:39 +08:00 от
>>>> restoredata@airmail.cc:
>>>>
>>>> Hi
>>>> Decryption costs 800 usd . are you agree with the price ?
>>>> i will send you your test file less than 10 hours .
>>>>
>>>> regards
>>>
>>> --
>>> С уважением Сервисный центр "АНАЛИТ"
>>
>> if you really want your files back i can get a discount for you from
>> the
>> admin . so it is going to be 580$ for you
>> i have to mention that we don't decrypt files for less than 500$ .
>>
>> regards
>
> --
> С уважением Сервисный центр "АНАЛИТ"

so it is 500$ for you , you have send me a desktop.ini file in your
first letter

should i decrypt it as a test file ? or you want send another file


хотя будем искать, время займет немного


  • 0

#14 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 11 Октябрь 2019 - 20:06

Если расшифровка и будет возможна, то только при наличии запрошенной пары файлов. Потому как со второй сегодняшней версией такого же вымогателя, как у Вас, все уже печально.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#15 OFF   Tehnor

Tehnor

    Новичок

  • Новички
  • Cообщений: 13

Отправлено 11 Октябрь 2019 - 22:17

я вас понял. ищем.


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных