Поиск

Montly_backups_-_192.168.60.40.zip Addition.txt FRST.txt

На сервере все файлы имеют расширение pizdec. Файл вируса найти не удалось. Логи, а также примеры зашифрованных текстовых файлов прилагаю. Также обнаружили странный тектовый файл, который точно имеет отношение к вирусу. Его также прилагаю. Заранее спасибо за помощь. Encrypted files, strange file, message.zip server logs.zip

Здравствуйте! Схватили шифровальщика. Надеюсь на помощь. Также имеется сам шифровальщик. Addition.txt FRST.txt Для анализа.rar

Схватили эту гадость. Реально чем-то расшифровать? пробовал https://github.com/cycraft-corp/Prometheus-Decryptor не помогает =( во вложении пример зашифрованного и оригинального файла и readme от вымогателей Пример.zip

Здравствуйте. Вирус шифровальщик GlobeImposter 2.0(SATANA) зашифровал файлы на компьютере бухгалтера. Помогите пожалуйста расшифровать.

Пробрались через RDP и запустили шифровальщик. Все файлы имеют в конце приписку SATANA. Есть файл, в котором написано мой ID и электронки вымогателей. Можете посмотреть, возможно ли что-то сделать с этой бедой. Спасибо. пароль на архив с зараженными вордовскими файлами 1234567890 CollectionLog-2022.02.01-10.29.zip SATANA-files.7z

Доброго дня. Вирус зашифровал всё что можно и нельзя. Главное базы 1С. Тело шифратора, так же как и файлы зашифрованные и для сравнения прилагаю (в архиве в облаке. Пароль на архив - 12345 . Иначе без пароля не давал загрузить). (Так же к топику его прикрепил). [ссылка] Самое интересное, что на сервере SQL стоял KES - kes10sp2mr4_aes56 + Сервис пак 3-й (или 4-й, точно не помню. С базами на 30.09.2021) был установлен (с триальной лицензией. Полную лицензию на 10 комп/серверов - оплатили за день до этого (есть платёжка), но ключ не успели получить) . На сервере было два пользователя(админа). Сервер без расшаренных рессурсов. Вирус как-то пробрался и зашифровал всё. Есть лог несчастья: **************** Loki started at 06.10.2021 in 7:02:46 **************** [INFO] [06.10.2021 7:02:46] Error handler initialized successfully. [INFO] [06.10.2021 7:02:46] Opening Mutex. [INFO] [06.10.2021 7:02:46] Mutex locked successfully. [INFO] [06.10.2021 7:02:46] Loading configuration. [INFO] [06.10.2021 7:02:46] Reading config file content. [INFO] [06.10.2021 7:02:46] Configuration loaded successfully. [INFO] [06.10.2021 7:02:46] loading encryption keys. [INFO] [06.10.2021 7:02:46] Checking timer. [INFO] [06.10.2021 7:02:46] Copying ransomware file in computer startup. [ERROR] [06.10.2021 7:02:46] Failed to copy program. (destination file path -> C:\Users\Alex\AppData\Roaming\winlogon.exe , error message -> Отказано в доступе по пути "C:\Users\Alex\AppData\Roaming\winlogon.exe".) [ERROR] [06.10.2021 7:02:46] Failed to copy program. (destination file path -> C:\Windows\winlogon.exe , error message -> Отказано в доступе по пути "C:\Windows\winlogon.exe".) [INFO] [06.10.2021 7:02:46] Building/setting encrypted files handler. [INFO] [06.10.2021 7:02:46] Checking Administrator privilege availability. [INFO] [06.10.2021 7:02:46] Fake Windows update : disabled. [INFO] [06.10.2021 7:02:46] Terminating disruptive processes. [INFO] [06.10.2021 7:02:46] Getting process list. [INFO] [06.10.2021 7:02:46] Disruptive process sqlbrowser found. (PID -> 4160). [INFO] [06.10.2021 7:02:46] Terminating process sqlbrowser (PID -> 4160). [INFO] [06.10.2021 7:02:46] Process sqlbrowser terminated successfully. (PID -> 4160). [INFO] [06.10.2021 7:02:46] Stopping disruptive services. [INFO] [06.10.2021 7:02:46] Getting service list. [INFO] [06.10.2021 7:02:46] Disruptive service found. (name -> MSDTC) [INFO] [06.10.2021 7:02:46] Getting service status. (name -> MSDTC) [INFO] [06.10.2021 7:02:46] Stopping service MSDTC. [INFO] [06.10.2021 7:02:46] Disruptive service found. (name -> MSSQLSERVER) [INFO] [06.10.2021 7:02:46] Getting service status. (name -> MSSQLSERVER) [INFO] [06.10.2021 7:02:46] Service MSSQLSERVER is not started. [INFO] [06.10.2021 7:02:46] Disruptive service found. (name -> SQLBrowser) [INFO] [06.10.2021 7:02:46] Getting service status. (name -> SQLBrowser) [INFO] [06.10.2021 7:02:46] Service SQLBrowser is not started. [INFO] [06.10.2021 7:02:46] Disruptive service found. (name -> SQLSERVERAGENT) [INFO] [06.10.2021 7:02:46] Getting service status. (name -> SQLSERVERAGENT) [INFO] [06.10.2021 7:02:46] Service SQLSERVERAGENT is not started. [INFO] [06.10.2021 7:02:46] Disruptive service found. (name -> SQLWriter) [INFO] [06.10.2021 7:02:46] Getting service status. (name -> SQLWriter) [INFO] [06.10.2021 7:02:46] Service SQLWriter is not started. [INFO] [06.10.2021 7:02:46] Disruptive service found. (name -> vds) [INFO] [06.10.2021 7:02:46] Getting service status. (name -> vds) [INFO] [06.10.2021 7:02:46] Stopping service vds. [INFO] [06.10.2021 7:02:46] Disable windows task manager -> disabled. [INFO] [06.10.2021 7:02:46] Executing some important CMD commands. [INFO] [06.10.2021 7:02:46] Removing system restore points. [ERROR] [06.10.2021 7:02:46] Не найдено [INFO] [06.10.2021 7:02:46] Clearing user recycle bin. [ERROR] [06.10.2021 7:02:46] Failed to empty recycle bin , error code -> -2147418113 [INFO] [06.10.2021 7:02:46] Disabling Windows defender anti virus. [INFO] [06.10.2021 7:02:46] Windows defender anti-virus disabled successfully. [INFO] [06.10.2021 7:02:46] Applying user login note message. [INFO] [06.10.2021 7:02:46] User login note message applied successfully. [INFO] [06.10.2021 7:02:46] Applying note message in "my computer" properties. [INFO] [06.10.2021 7:02:46] OEM information applied successfully. [INFO] [06.10.2021 7:02:46] Starting encryption process. [INFO] [06.10.2021 7:02:46] Initializing drive "A:\" I/O thread. [INFO] [06.10.2021 7:02:46] Drive A:\ thread created & started successfully. (thread id -> 7400, size -> 268,6 MB , type -> Fixed). [INFO] [06.10.2021 7:02:46] Initializing drive C:\ I/O thread. [INFO] [06.10.2021 7:02:46] Drive C:\ thread started successfully. (thread id -> 4308, size -> 166,9 GB , type -> Fixed). [INFO] [06.10.2021 7:02:46] Initializing drive "D:\" I/O thread. [INFO] [06.10.2021 7:02:46] Drive D:\ thread created & started successfully. (thread id -> 9940, size -> 4,3 GB , type -> CDRom). [INFO] [06.10.2021 7:02:46] Initializing drive "Z:\" I/O thread. [INFO] [06.10.2021 7:02:46] Drive Z:\ thread created & started successfully. (thread id -> 676, size -> 229,0 GB , type -> Fixed). [INFO] [06.10.2021 7:02:46] Waiting for I/O threads to finish. [INFO] [06.10.2021 7:03:24] Changing volumes label. [INFO] [06.10.2021 7:03:24] Volume A:\ label changed successfuly , new volume label -> Locked by Loki. [INFO] [06.10.2021 7:03:24] Volume C:\ label changed successfuly , new volume label -> Locked by Loki. [ERROR] [06.10.2021 7:03:24] Failed to set volume label , volume -> D:\ , error code -> 5 [INFO] [06.10.2021 7:03:24] Volume Z:\ label changed successfuly , new volume label -> Locked by Loki. [INFO] [06.10.2021 7:03:24] Changing Windows desktop wallpaper. [INFO] [06.10.2021 7:03:26] Windows desktop wallpaper changed successfully. [ERROR] [06.10.2021 7:03:26] Failed to write info file. (error message -> Отказано в доступе по пути "D:\info.hta".) [INFO] [06.10.2021 7:03:26] Shutdown -> disabled. **************** Loki finished at 06.10.2021 in 7:03:26 **************** loki pass 12345.rar

Добрый день! Сегодня была атака. Зашифровано все Посмотрите, пожалуйста, есть-ли возможность расшифровки Encrypted files.zip FRST.zip CollectionLog-2020.05.18-15.30.zip

Шифровальщик зашифровал файлы, сделал расширение system32x. Виндовс переустановили, так как нужно было работать. Помогите с расшифровкой Новая папка (2).rar

Доброго времени! Просьба помочь какой утилитой можно дешифровать испорченные вирусом файлы? Просканировал утилитой Virus Removal Tool...угроз не обнаружилось...

Здравствуйте, уважаемая поддержка. Сегодня столкнулся с этой проблемой, когда все файлы на жестком диске переименовались и в окончании стоит .DOCM. Проверил систему на вирусы - как написано в инструкции. Затем установил SpyHack 5 и удалил с помощью него все эти шифровальщики или что там может быть =) Было найдено 150 троянов, в том числе 2 шифровальщика под именем malware Globeimposter и .DOCM Ransomware Все почистил, удалил. Нашел источник заражения - удалил. Был файл с торрента - программы, которую хотел попробовать перед тем, как покупать. Затем запустил AutoLogger и сформировал отчет, который прикрепил сюда. Теперь вопросы =) 1. Могу ли я восстановить утерянную информацию с помощью Data Recovery Pro ? Я так понял, в дешифровке 1тб информации нет смысла? =) 2. Если у меня был образ системы на жестком диске, который подвергся шифрованию - WindowsImageBackup папка, из которой я обычно восстанавливаю систему в прежний вид со всем установленным софтом - есть ли риск заражения DOCM снова, если я сейчас восстановлю с этого образа систему? Просто я проверил эту папку, там DOCM нет, да и Ведь образ создавался задолго до заражения. Или все-таки лучше установить заново все и отформатировать все жесткие диски? =) 3. Будет ли достаточно SpyHack 5 для защиты системы от новых шифровальщиков, если вдруг их подхвачу? Просто самое интересное, что за 10 лет работы - это первый случай со мной. 4. Как защитить систему и избежать нового заражения? =) Благодарю и хорошего Вам дня. С Уважением, Андрей. CollectionLog-2019.06.23-13.17.zip

Добрый день, поймали сегодня. Расширения файлов *.[dsupport@protonmail.com], сообщение "How to restore your files.hta". В аттаче файл шифрованный и нешифрованный. Есть и exe-ник вируса. Чистка и удаление, способ заражения не интересует, Интересует потенциальная возможность расшифровки. 1.zip

Добрый день, подвергся атаке Trojan.Encoder.11539, но это не точно. Краткая хронология: - зависание ПК и активная работа хдд насторожила не сразу; - перезагрузка и проверка Kaspersky Total Security(тестовая версия); - HEUR:Trojan.Win32.Agent.gen - UDS:Backdoor.MSIL.Androm.gen - HackTool.Win32.KMSAuto.i - проверка CureIT: - угроза HOST, к сожалению кликнул не посмотрев на вылечить и т.п.; - повторная проверка была уже чистой; - от 30-50% файлов зашифровано; Скрипт выдал ошибку при работе. Error #5 - Invalid proocedure call or argement Касперский был выключен и закрыт при проверке. Если это действительно 11539, то дешифровка невозможна как я понял? И главным становится вопрос - почему это произошло, как произошло заражение? Если логи помогут вам, я буду очень благодарен за ответ. Спасибо.

Добрый день. Включил компьютер, все файлы с расширением DOCM, в каждой папке лежит фаил Restore-My-Files , восстановить не надеюсь, интересует несколько вопросов: Как можно удалить вирус? (просканировал касперским, скрин прикрепляю) Мог ли он получить доступ к личным данным (паролям например)? Хочу переустановить систему, если загрузиться с установочной флешки и форматировать все диски перед установкой, будет ли этого достаточно для полного его удаления? Нахожусь в студии с общим интернетом от роутера, может ли вирус попасть на другие компьютеры подключенные к этой сети? И попадает ли вирус на флешки подключенные к зараженному компьютеру( на флешке файлы зашифрованы вирусом) Спасибо! CollectionLog-2019.06.21-17.57.zip

у меня такая же история Сообщение от модератора kmscom сообщение перенесено из темы вирус шифратор формат DOCM FRST.txt Addition.txt

19 мая в 6 утра запустился шифровальщик на сервере, RDP не настроено, видимо по почте прилетел, зашифровало все данные на сервере и на всех дисках что можно сделать? Addition.txt FRST.txt Shortcut.txt CollectionLog-2019.05.20-13.41.zip

Здравствуйте принесли посмотреть системный блок с заявленной неисправностью - не открываются файлы типа doc, xls, jpg. Загрузив систему и просмотрев папки с файлами увидел, что они имеют расширение .systems32x. Причем самое интересное, что вредоносная программа создала дубликаты также exe файлов, но оригиналы не удалила, т.е в папке может быть оригинальный файл с расширением exe, копия этого файла с расширением systems32x и сгенерированный файл с расширением .txt, где вымогатель, - автор вируса указывает почтовый адрес systems32x@gmail.com, @yahoo и т.п. и ключ, инструкции для пробной расшифровки, типа вышлите два файла размером не более 1 мегабайта. Прикрепляю лог сделанный по инструкции https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]. Также могу выслать образцы зашифрованный файлов и текстового документа с интструкцией данной вредоносной программы. Т.к. данный компьютер используется в учебном заведении скорее всего заразу получили по почте. CollectionLog-2019.04.26-08.51.zip

Все файлы закодировались. Выполнил проверку компьютера доктор вебом. Прилажую логи. CollectionLog-2019.04.24-15.05.zip

Здравствуйте. Ко мне сегодня за помощью обратилась знакомая с внешним диском, на котором были файлы баз 1с и документы офисных приложений. Большая часть этих файлов (и файлы баз 1с v.7 в том числе) - зашифрованы. Расширение файлов после шифрования: systems32x. В каждой папке имеется текстовый файл HOW TO BACK YOUR FILES.txt с инструкцией действий для дешифрования файлов. Она сказала, что письмо с просьбой о помощи направила на первый из указанный e-mail (из "инструкции"), но ответа не последовало. Прошу помощи, возможна ли дешифровка файлов? Отправляю файл с "инструкцией" действий и 2 зашифрованных файла. Помогите пожалуйста с расшифровкой или советом. HOW TO BACK YOUR FILES.TXT encrypted.rar

Здравствуйте! К нам на WinServer 2016 залетел троян mark, скорее всего через rdp. Теперь, естественно, все файлы зашифрованы, но это полбеды, на комп тоже не можем попасть никак, при авторизации выдает ошибку профиля пользователя и все, еще горя добавляет что в биос не попасть и не зайти с загрузочной флешки, так как все клавы и USB и PS2 отказываются работать до начала загрузки винды. Ходим только по шарам.Самое важное что зашифровалась, это база 1с в SQL, Средствами sql не получается еще воостановить и подсунуть на сервер. По темам у вас были понял, что последние зараженные были летом 2018 и помочь им не смогли. Есть ли на сегодняшний день лекарство.

Добрый день! Словили данного шифровальщика. Скажите, восстановление не возможно даже при наличии как зашифрованных так и исходных файлов? Даже на платной основе. И помогите, пожалуйста очистить систему. Результаты работы Farbar Recovery Scan Tool прилагаю. Спасибо! ff.rar