Перейти к содержимому


Фотография
- - - - -

Зашифрованы файлы "*.black"

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 8

#1 OFF   maratashirk

maratashirk

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 14 Январь 2020 - 10:40

Здравствуйте!

Стоит Windows2008 с терминальным сервером, зашифрованные файлы имею вид 

5X=i9Q5mJNux+iUxfDOy4Z3tUB7Am4.black

В текстовом файле "Инструкции по расшифровке файлов black" написано следующее:

 

"Напишите на почту - black19@cock.li
====================================================================================================
 
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
 
Ваш личный идентификатор"
 
Отчёт с AutoLogger во вложении. Буду ждать ответа. Спасибо!

Прикрепленные файлы


Сообщение отредактировал maratashirk: 14 Январь 2020 - 10:41

  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 423

Отправлено 14 Январь 2020 - 10:50

Здравствуйте!

 

Пару зашифрованных файлов вместе с файлом "Инструкции по расшифровке файлов black.TXT" упакуйте в архив и прикрепите к следующему сообщению.

 

Вы собрали отчёты устаревшей версией Автологера. Почему? Откуда его качали?


  • 0
Изображение

#3 OFF   maratashirk

maratashirk

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 14 Январь 2020 - 10:58

Здравствуйте! Когда скачивал по ссылке http://tools.safezon...Logger-test.zip, то выдало сообщение о том, что версия старая, искал другую, эта " https://www.comss.ru/page.php?id=1812" ошибку не выдало.

В файлы.zip инструкция и один из зашифрованных файлов.

Прикрепленные файлы


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 423

Отправлено 14 Январь 2020 - 11:06

выдало сообщение о том, что версия старая

Ясно, спасибо.

Тип вымогателя похож на Scarab. Для некоторых его версий у ЛК есть инструмент.
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Здесь дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#5 OFF   maratashirk

maratashirk

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 14 Январь 2020 - 11:25

Запрос через личный кабинет отправил (не знаю нужен ли вам номер запроса, но на всякий случай INC000011173664). Программу FRST64 запустил, файлы прикрепил. 

Прикрепленные файлы

  • Прикрепленный файл  FRST.txt   18,04К   скачиваний 1
  • Прикрепленный файл  Addition.txt   24,46К   скачиваний 1

  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 423

Отправлено 14 Январь 2020 - 11:31

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1265642267-1497487528-1560534520-1003\...\Run: [QBjPrejn] => C:\Users\marat\Инструкции по расшифровке файлов black.TXT [3322 2020-01-14] () [File not signed]
    2020-01-14 00:39 - 2020-01-14 00:39 - 000003322 _____ C:\Users\marat\Инструкции по расшифровке файлов black.TXT
    2020-01-14 00:29 - 2020-01-14 00:39 - 000003322 _____ C:\Users\marat\Desktop\Инструкции по расшифровке файлов black.TXT
    2020-01-14 00:29 - 2020-01-14 00:29 - 000003322 _____ C:\Users\USR1CV82\Инструкции по расшифровке файлов black.TXT
    2020-01-14 00:29 - 2020-01-14 00:29 - 000003322 _____ C:\Users\postgres\Инструкции по расшифровке файлов black.TXT
    2020-01-14 00:29 - 2020-01-14 00:29 - 000003322 _____ C:\Users\marat\Documents\Инструкции по расшифровке файлов black.TXT
    2020-01-14 00:15 - 2020-01-14 00:15 - 000003322 _____ C:\Инструкции по расшифровке файлов black.TXT
    2020-01-14 00:12 - 2020-01-14 00:12 - 000000000 _____ C:\Users\marat\Documents\Default.rdp
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Учётная запись

Admin (S-1-5-21-1265642267-1497487528-1560534520-1000 - Administrator - Enabled) => C:\Users\Admin

скорее всего не ваша. Если это так, удалите её.
 

нужен ли вам номер запроса

Результат переписки сообщите здесь, пожалуйста.
+
Пароль на RDP смените.

Сообщение отредактировал Sandor: 14 Январь 2020 - 11:31

  • 0
Изображение

#7 OFF   maratashirk

maratashirk

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 14 Январь 2020 - 11:40

Папку Admin удалил. Запрос выполнил, файл во вложении. Как получу ответ от службы поддержки, отпишусь здесь.

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   2,47К   скачиваний 1

  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 423

Отправлено 14 Январь 2020 - 11:48

Кроме папки нужно еще саму учётную запись эту удалить.


  • 0
Изображение

#9 OFF   maratashirk

maratashirk

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 14 Январь 2020 - 11:51

Учётку Admin удалил, от своего пользователя поменял пароль. Пока отключил rdp, подключаюсь через teamviewer. Спасибо!


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных