Перейти к содержимому


Фотография
- - - - -

Шифровальщик 3335799@protonmail.com

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 9

#1 OFF   pitrider

pitrider

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 27 February 2020 - 16:37

Добрый день!

Сегодня поймал знакомый этого зловреда. Последний оставил записку в Readme:

decrypt files? write here 3335799@protonmail.com
or telegram: @assist_decoder

Подлежит восстановлению?

 

Файлы прикрепил.

 

Заранее благодарю.

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11688

Отправлено 27 February 2020 - 16:47

Здравствуйте!

Подлежит восстановлению?

Увы, нет.

Файл C:\Users\Админ\Downloads\3.exe проверьте на www.virustotal.com и покажите ссылку результата проверки.

Для очистки следов и мусора:
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    Task: {02204638-C638-439C-9CD4-0EA45911743D} - System32\Tasks\BCBoot => bcdedit [Argument = /set {default} bootstatuspolicy ignoreallfailures]
    Task: {11E3AC1A-0286-4E4D-A386-2AF002FAEF7F} - System32\Tasks\WBadminSystemRestore => wbadmin [Argument = DELETE SYSTEMSTATEBACKUP -keepVersions:0]
    Task: {ACFE2C05-03D6-4091-BF25-C5B8FAA53678} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE
    Task: {D5A3B873-1D70-4CEE-AA93-07FB37467668} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
    Task: {DAECE73C-788C-41BC-967F-2F0736F32B32} - System32\Tasks\BCRecover => bcdedit [Argument = /set {default} recoveryenabled No]
    Task: {FF99FBCC-5DDC-4FF8-93B1-512F990F1CC3} - System32\Tasks\WBadminBackupRestore => wbadmin [Argument = DELETE BACKUP -keepVersions:0]
    2020-02-27 12:42 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Cиcтема\README.txt
    2020-02-27 12:42 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Cиcтема\Downloads\README.txt
    2020-02-27 12:42 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Cиcтема\Documents\README.txt
    2020-02-27 12:42 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Cиcтема\Desktop\README.txt
    2020-02-27 12:42 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Cиcтема\AppData\Roaming\README.txt
    2020-02-27 12:42 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Cиcтема\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-02-27 12:42 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Cиcтема\AppData\README.txt
    2020-02-27 12:42 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Cиcтема\AppData\Local\README.txt
    2020-02-27 12:32 - 2020-02-27 12:32 - 000000096 _____ C:\README.txt
    2020-02-27 12:30 - 2020-02-27 12:30 - 000000096 _____ C:\Program Files (x86)\README.txt
    2020-02-27 12:26 - 2020-02-27 12:26 - 000000096 _____ C:\Users\Кассир\README.txt
    2020-02-27 12:26 - 2020-02-27 12:26 - 000000096 _____ C:\Users\Кассир\Downloads\README.txt
    2020-02-27 12:26 - 2020-02-27 12:26 - 000000096 _____ C:\Users\Кассир\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-02-27 12:25 - 2020-02-27 12:25 - 000000096 _____ C:\Users\Кассир\Documents\README.txt
    2020-02-27 12:25 - 2020-02-27 12:25 - 000000096 _____ C:\Users\Кассир\Desktop\README.txt
    2020-02-27 12:25 - 2020-02-27 12:25 - 000000096 _____ C:\Users\Кассир\AppData\Roaming\README.txt
    2020-02-27 12:25 - 2020-02-27 12:25 - 000000096 _____ C:\Users\Кассир\AppData\README.txt
    2020-02-27 12:25 - 2020-02-27 12:25 - 000000096 _____ C:\Users\Кассир\AppData\LocalLow\README.txt
    2020-02-27 12:11 - 2020-02-27 12:11 - 000000096 _____ C:\Program Files\README.txt
    2020-02-27 12:06 - 2020-02-27 12:06 - 000000096 _____ C:\Users\Кассир\AppData\Local\README.txt
    2020-02-27 12:06 - 2020-02-27 12:06 - 000000096 _____ C:\Users\Админ\README.txt
    2020-02-27 12:06 - 2020-02-27 12:06 - 000000096 _____ C:\Users\Админ\Downloads\README.txt
    2020-02-27 12:06 - 2020-02-27 12:06 - 000000096 _____ C:\Users\Админ\Documents\README.txt
    2020-02-27 12:06 - 2020-02-27 12:06 - 000000096 _____ C:\Users\Админ\Desktop\README.txt
    2020-02-27 12:06 - 2020-02-27 12:06 - 000000096 _____ C:\Users\Админ\AppData\Roaming\README.txt
    2020-02-27 12:06 - 2020-02-27 12:06 - 000000096 _____ C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-02-27 12:06 - 2020-02-27 12:06 - 000000096 _____ C:\Users\Админ\AppData\README.txt
    2020-02-27 12:06 - 2020-02-27 12:06 - 000000096 _____ C:\Users\Админ\AppData\LocalLow\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Админ\AppData\Local\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Public\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Public\Downloads\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\DefaultAppPool\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\DefaultAppPool\Downloads\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\DefaultAppPool\Documents\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\DefaultAppPool\Desktop\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\DefaultAppPool\AppData\Roaming\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\DefaultAppPool\AppData\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\DefaultAppPool\AppData\LocalLow\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\DefaultAppPool\AppData\Local\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Default\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Default\Downloads\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Default\Documents\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Default\Desktop\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Default\AppData\Roaming\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Default\AppData\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Default\AppData\Local\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Default User\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Default User\Downloads\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Default User\Documents\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Default User\Desktop\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Default User\AppData\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Default User\AppData\Local\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Classic .NET AppPool\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Classic .NET AppPool\Downloads\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Classic .NET AppPool\Documents\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-02-27 12:05 - 2020-02-27 12:05 - 000000096 _____ C:\Program Files\Common Files\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\Все пользователи\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\Все пользователи\Documents\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\Все пользователи\Desktop\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\Public\Documents\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\Public\Desktop\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\Classic .NET AppPool\Desktop\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\Classic .NET AppPool\AppData\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\Classic .NET AppPool\AppData\LocalLow\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\Classic .NET AppPool\AppData\Local\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\BasesShare\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\BasesShare\Downloads\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\BasesShare\Documents\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\BasesShare\Desktop\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\BasesShare\AppData\Roaming\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\BasesShare\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\BasesShare\AppData\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\BasesShare\AppData\LocalLow\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\Users\BasesShare\AppData\Local\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\ProgramData\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\ProgramData\Documents\README.txt
    2020-02-27 12:03 - 2020-02-27 12:03 - 000000096 _____ C:\ProgramData\Desktop\README.txt
    2019-12-04 15:25 - 2020-02-27 12:25 - 000010227 _____ C:\Users\Кассир\Downloads\ReadMe.txt[3335799@protonmail.com][].rqo
    MSCONFIG\startupreg: 2746144 => 2746144
    MSCONFIG\startupreg: 2966889208 => C:\Users\7272~1\AppData\Local\Temp\svcgad.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
  • 0
Изображение

#3 OFF   pitrider

pitrider

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 27 February 2020 - 17:16

Хорошо, проверю.
Вопрос еще такой: если имеется много файлов-оригиналов (но они не относятся к важным) - получится ли найти ключик?


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11688

Отправлено 27 February 2020 - 17:19

Для данной версии вымогателя это не поможет.

Сообщение отредактировал Sandor: 27 February 2020 - 17:19

  • 0
Изображение

#5 OFF   Nekto777

Nekto777

    Новичок

  • Новички
  • Cообщений: 1

Отправлено 28 February 2020 - 21:48

Приветствую.
У меня тоже вчера активировался этот шифровальщик.
Если найдётся решение по дешифровке - напишите, пожалуйста.
 

decrypt files? write here 3335799@protonmail.com
or telegram: @assist_decoder

  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11688

Отправлено 28 February 2020 - 22:29

Nekto777, здравствуйте!

 

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи 


  • 0
Изображение

#7 OFF   pitrider

pitrider

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 29 February 2020 - 15:53

Отчет www.virustotal.com
Отчет Fixlog прикрепил

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   18.8К   скачиваний 1

  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11688

Отправлено 29 February 2020 - 19:57

Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • 0
Изображение

#9 OFF   pitrider

pitrider

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 02 March 2020 - 12:52

Вот отчет SecurityCheck

Прикрепленные файлы


  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11688

Отправлено 02 March 2020 - 12:59

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.2 v.4.7.03062 Внимание! Скачать обновления
LibreOffice 6.2.4.2 v.6.2.4.2 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
AnyDesk v.ad 5.4.0 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 231 (64-bit) v.8.0.2310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u241-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 ActiveX v.32.0.0.207 Внимание! Скачать обновления
Adobe Flash Player 32 NPAPI v.32.0.0.207 Внимание! Скачать обновления
Adobe Flash Player 32 PPAPI v.32.0.0.207 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 72.0.1 (x64 ru) v.72.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Yandex v.20.2.3.213 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Читайте Рекомендации после удаления вредоносного ПО
  • 0
Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных