Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

файлы зашифрованы id-04908180.[supp37@cock.li].wrar

Андрей Журавлев

Автор Андрей Журавлев
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Андрей Журавлев Новичок

Андрей Журавлев

Опубликовано
Опубликовано (изменено)

 

Добрый день, помогите справится с шифровальшиком. Все файлы зашифрованы, после файла добавлено расширение id-04908180.[supp37@cock.li].wrar

 

Также сообщение

 

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail supp37@cock.li
Write this ID in the title of your message 04908180
In case of no answer in 24 hours write us to theese e-mails:supp37@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 

 

 

Добрый день, помогите справится с шифровальшиком. Все файлы зашифрованы, после файла добавлено расширение id-04908180.[supp37@cock.li].wrar

 

Также сообщение

 

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail supp37@cock.li
Write this ID in the title of your message 04908180
In case of no answer in 24 hours write us to theese e-mails:supp37@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 

Прикрепляю логи  Farbar

FRST.rar

FRST.rar

Изменено пользователем Андрей Журавлев
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

C:\Users\Администратор\AppData\Roaming\xxx.exe заархивируйте в zip-архив с паролем virus (в имени архива не должно быть символов кириллицы) и загрузите архив по ссылке https://virusinfo.info/upload_virus.php?tid=37678

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [xxx.exe] => C:\Users\Администратор\AppData\Roaming\xxx.exe [94720 2020-01-26] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13904 2020-01-26] () [File not signed]
HKLM\...\Run: [C:\Users\Наталья\AppData\Roaming\Info.hta] => C:\Users\Наталья\AppData\Roaming\Info.hta [13904 2020-01-25] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13904 2020-01-26] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-26] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe [2020-01-26] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-26] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe [2020-01-26] () [File not signed]
Startup: C:\Users\Наталья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-25] () [File not signed]
Startup: C:\Users\Наталья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe [2020-01-25] () [File not signed]
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy-x32: Restriction - Chrome <==== ATTENTION
C:\Users\Наталья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe
C:\Users\Администратор\AppData\Roaming\xxx.exe
Task: {5C715C86-11F9-4FA6-9C89-8688B10172A1} - \KMSAutoNet -> No File <==== ATTENTION
Task: {5D825102-6066-4A7E-86DA-1FA20A42E2AC} - System32\Tasks\GoogleUpdateTaskMachineLS => C:\Users\Наталья\AppData\Roaming\Oracle\Secure\9989F31B-1ED9-41F3-8AC1-7CBE6415C30E\javsecc.exe <==== ATTENTION
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~1\MICROS~1\Office14\URLREDIR.DLL => No File
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL => No File
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL => No File
BHO-x32: No Name -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3793888213-1153031230-1610408190-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll No File
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL No File
SearchScopes: HKU\S-1-5-21-3793888213-1153031230-1610408190-500 -> A6971567146397A37C6BB2C0A182CEDE URL = hxxp://websearch.ask.com/redirect?client=ie&tb=FXTV5&o=&src=crm&q={searchTerms}&locale=
2020-01-26 09:27 - 2020-01-26 09:27 - 000013904 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2020-01-26 09:27 - 2020-01-26 09:27 - 000000162 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
2020-01-25 03:29 - 2020-01-26 09:27 - 000013904 _____ C:\Windows\system32\Info.hta
2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\FILES ENCRYPTED.txt
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютеранужно выполнить вручную после данного скрипта.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

C:\Users\Администратор\AppData\Roaming\xxx.exe заархивируйте в zip-архив с паролем virus (в имени архива не должно быть символов кириллицы) и загрузите архив по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Это я сам с собой поговорил?

 

С расшифровкой помочь не сможем.

Ссылка на комментарий
Поделиться на другие сайты
Андрей Журавлев Новичок

Андрей Журавлев

Опубликовано
  • Автор
Опубликовано

  C:\Users\Администратор\AppData\Roaming\xxx.exe
файл найти не могу


  C:\Users\Администратор\AppData\Roaming\xxx.exe
файл найти не могу


  C:\Users\Администратор\AppData\Roaming\xxx.exe
файл найти не могу

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

После выполнения скрипта его искать в системе уже бесполезно. Потому и нужно было выполнять рекомендации в том порядке, как они выдавались.

Ссылка на комментарий
Поделиться на другие сайты
Андрей Журавлев Новичок

Андрей Журавлев

Опубликовано
  • Автор
Опубликовано

После выполнения скрипта его искать в системе уже бесполезно. Потому и нужно было выполнять рекомендации в том порядке, как они выдавались.

Добрый день, файл нашли в удаленных копиях. Восстановили и загрузили архив по ссылке https://virusinfo.in...s.php?tid=37678

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • robocop1974
      Зашифрованные файлы
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
    • MidgardS1
      Зашифрованы файлы
      Автор MidgardS1
      Привет! Столкнулись с таким же шифровальщиком. Подскажите, есть возможность расшифровать данные?
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы.
    • BeckOs
      Зашифрованы все файлы
      Автор BeckOs
      На компьютере зашифрованы все файлы. Атака была ночью 
      FRST.txt files.7z
    • Muk4ltin
      Зловред зашифровал файлы
      Автор Muk4ltin
      Помогите с расшифровыванием файлов или подскажите как действовать? Прикрепил файл с требованием и зашифрованный файл в архиве
      92qjfSsqC.README.txt Специалист-по-ГО.doc.rar
    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
×
×
  • Создать...