zeppelin ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ .kd8eby0.14D-4A0-6BE

[Egor2egor]

Добрый вечер. Словил какого-то шифровальщика (.ZEPPELIN - появился такой файл вместе с зашифроваными файлами, которые стали формата .kd8eby0.14D-4A0-6BE) не знаю что делать. Используем ваше лицензионное ПО. Текст для выкупа следующий:

 

======

!!! ALL YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: lingon1@onionmail.com and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: lingon1@onionmail.com
Reserved email: kd8eby0@nuke.africa
In case of no answer in 24 hours write us to this e-mail: kd8eby0@inboxhub.net

Your personal ID: 14D-4A0-6BE

Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

======

etovirus.Zeppelin.rar file.rar

Изменено 10 июля, 2022 пользователем Egor2egor

[thyrex]

Правила оформления запроса о помощи

[Egor2egor]

45 минут назад, thyrex сказал:

Правила оформления запроса о помощи

добавил сами файлы, файл с вирусом (пароль - virus). Нужна срочная помощь, спасибо.

 

Извиняюсь, вот файлы addition, frst.txt

Addition.txt FRST.txt

[Sandor]

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Сообщите нужна ли помощь в очистке системы от его следов.

[Egor2egor]

То есть данные утеряны? Ничего больше не сделать? Очистка нужна.

И что это вообще за шифровальщик? Интересно знать на будущее.

 

20 часов назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Сообщите нужна ли помощь в очистке системы от его следов.

То есть данные утеряны? Ничего больше не сделать? Очистка нужна.

И что это вообще за шифровальщик? Интересно знать на будущее.

[Sandor]

Zeppelin Ransomware, я отметил тэгом темы.

 

10.07.2022 в 21:22, Egor2egor сказал:

То есть данные утеряны? Ничего больше не сделать?

Скорее всего да. Разве что вымогатели сами выложат ключи или их поймают, конфискуют сервера и тоже выложат ключи. Такое хоть и редко, но случается.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-258644576-1403976032-1592068529-1004\...\MountPoints2: {8cedb0bc-38b8-11e9-92e4-e8cc18e8ad03} - F:\LaunchU3.exe -a
  HKU\S-1-5-21-258644576-1403976032-1592068529-1004\...\MountPoints2: {d5da2e30-00e6-11e4-a350-5cd998f57988} - F:\LaunchU3.exe -a
  Task: {C88884A1-9BA1-4053-B96E-044222436D81} - \Windows Update -> Нет файла <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:MSFT_UCScenarioControl.Name=\"Microsoft WMI Updating Consumer Scenario Control\"",Filter="\\.\root\subscription:__EventFilter.Name=\"Microsoft WMI Updating Consumer Scenario Control\"::
  WMI:subscription\__EventFilter->Microsoft WMI Updating Consumer Scenario Control::[Query => SELECT * FROM __InstanceOperationEvent WHERE TargetInstance ISA 'MSFT_UCScenario']
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [406]
  FirewallRules: [C:\Program Files\AVG\Av\avgdiagex.exe-TCP-Standard] => (Allow) C:\Program Files\AVG\Av\avgdiagex.exe => Нет файла
  FirewallRules: [C:\Program Files\AVG\Av\avgdiagex.exe-UDP-Standard] => (Allow) C:\Program Files\AVG\Av\avgdiagex.exe => Нет файла
  FirewallRules: [C:\Program Files\AVG\Av\avgemcx.exe-TCP-Standard] => (Allow) C:\Program Files\AVG\Av\avgemcx.exe => Нет файла
  FirewallRules: [C:\Program Files\AVG\Av\avgemcx.exe-UDP-Standard] => (Allow) C:\Program Files\AVG\Av\avgemcx.exe => Нет файла
  DomainProfile\GloballyOpenPorts: [137:UDP] => Enabled:@xpsp2res.dll,-22001
  DomainProfile\GloballyOpenPorts: [138:UDP] => Enabled:@xpsp2res.dll,-22002
  DomainProfile\GloballyOpenPorts: [139:TCP] => Enabled:@xpsp2res.dll,-22004
  DomainProfile\GloballyOpenPorts: [445:TCP] => Enabled:@xpsp2res.dll,-22005
  StandardProfile\GloballyOpenPorts: [137:UDP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22001
  StandardProfile\GloballyOpenPorts: [138:UDP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22002
  StandardProfile\GloballyOpenPorts: [139:TCP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22004
  StandardProfile\GloballyOpenPorts: [1900:UDP] => :LocalSubNet:Disabled:@xpsp2res.dll,-22007
  StandardProfile\GloballyOpenPorts: [2869:TCP] => :LocalSubNet:Disabled:@xpsp2res.dll,-22008
  StandardProfile\GloballyOpenPorts: [445:TCP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22005
  ExportKey: HKCU\Software\Zeppelin
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 12 июля, 2022 пользователем Sandor
Добавил экспорт ключа