Перейти к содержанию

файлы зашифрованы id-04908180.[supp37@cock.li].wrar

Андрей Журавлев

Автор Андрей Журавлев
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Андрей Журавлев

Андрей Журавлев

Опубликовано
Опубликовано (изменено)

 

Добрый день, помогите справится с шифровальшиком. Все файлы зашифрованы, после файла добавлено расширение id-04908180.[supp37@cock.li].wrar

 

Также сообщение

 

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail supp37@cock.li
Write this ID in the title of your message 04908180
In case of no answer in 24 hours write us to theese e-mails:supp37@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 

 

 

Добрый день, помогите справится с шифровальшиком. Все файлы зашифрованы, после файла добавлено расширение id-04908180.[supp37@cock.li].wrar

 

Также сообщение

 

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail supp37@cock.li
Write this ID in the title of your message 04908180
In case of no answer in 24 hours write us to theese e-mails:supp37@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 

Прикрепляю логи  Farbar

FRST.rar

FRST.rar

Изменено пользователем Андрей Журавлев
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

C:\Users\Администратор\AppData\Roaming\xxx.exe заархивируйте в zip-архив с паролем virus (в имени архива не должно быть символов кириллицы) и загрузите архив по ссылке https://virusinfo.info/upload_virus.php?tid=37678

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [xxx.exe] => C:\Users\Администратор\AppData\Roaming\xxx.exe [94720 2020-01-26] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13904 2020-01-26] () [File not signed]
HKLM\...\Run: [C:\Users\Наталья\AppData\Roaming\Info.hta] => C:\Users\Наталья\AppData\Roaming\Info.hta [13904 2020-01-25] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13904 2020-01-26] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-26] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe [2020-01-26] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-26] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe [2020-01-26] () [File not signed]
Startup: C:\Users\Наталья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-25] () [File not signed]
Startup: C:\Users\Наталья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe [2020-01-25] () [File not signed]
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy-x32: Restriction - Chrome <==== ATTENTION
C:\Users\Наталья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe
C:\Users\Администратор\AppData\Roaming\xxx.exe
Task: {5C715C86-11F9-4FA6-9C89-8688B10172A1} - \KMSAutoNet -> No File <==== ATTENTION
Task: {5D825102-6066-4A7E-86DA-1FA20A42E2AC} - System32\Tasks\GoogleUpdateTaskMachineLS => C:\Users\Наталья\AppData\Roaming\Oracle\Secure\9989F31B-1ED9-41F3-8AC1-7CBE6415C30E\javsecc.exe <==== ATTENTION
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~1\MICROS~1\Office14\URLREDIR.DLL => No File
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL => No File
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL => No File
BHO-x32: No Name -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3793888213-1153031230-1610408190-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll No File
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL No File
SearchScopes: HKU\S-1-5-21-3793888213-1153031230-1610408190-500 -> A6971567146397A37C6BB2C0A182CEDE URL = hxxp://websearch.ask.com/redirect?client=ie&tb=FXTV5&o=&src=crm&q={searchTerms}&locale=
2020-01-26 09:27 - 2020-01-26 09:27 - 000013904 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2020-01-26 09:27 - 2020-01-26 09:27 - 000000162 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
2020-01-25 03:29 - 2020-01-26 09:27 - 000013904 _____ C:\Windows\system32\Info.hta
2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\FILES ENCRYPTED.txt
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютеранужно выполнить вручную после данного скрипта.
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

C:\Users\Администратор\AppData\Roaming\xxx.exe заархивируйте в zip-архив с паролем virus (в имени архива не должно быть символов кириллицы) и загрузите архив по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Это я сам с собой поговорил?

 

С расшифровкой помочь не сможем.

Ссылка на комментарий
Поделиться на другие сайты
Андрей Журавлев

Андрей Журавлев

Опубликовано
  • Автор
Опубликовано

  C:\Users\Администратор\AppData\Roaming\xxx.exe
файл найти не могу


  C:\Users\Администратор\AppData\Roaming\xxx.exe
файл найти не могу


  C:\Users\Администратор\AppData\Roaming\xxx.exe
файл найти не могу

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

После выполнения скрипта его искать в системе уже бесполезно. Потому и нужно было выполнять рекомендации в том порядке, как они выдавались.

Ссылка на комментарий
Поделиться на другие сайты
Андрей Журавлев

Андрей Журавлев

Опубликовано
  • Автор
Опубликовано

После выполнения скрипта его искать в системе уже бесполезно. Потому и нужно было выполнять рекомендации в том порядке, как они выдавались.

Добрый день, файл нашли в удаленных копиях. Восстановили и загрузили архив по ссылке https://virusinfo.in...s.php?tid=37678

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Денис А
      Все файлы зашифрованы шифровальщиком
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • astraoren
      Зашифровались файлы, расширение .enc
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Lingon
      Файлы зашифрованы с расширением .ant_dec
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • SatanicPanzer
      Файлы зашифрованы с расширением Encrypted
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
×
×
  • Создать...