Перейти к содержанию

Рекомендуемые сообщения

Добрый вечер. Словил какого-то шифровальщика (.ZEPPELIN - появился такой файл вместе с зашифроваными файлами, которые стали формата .kd8eby0.14D-4A0-6BE) не знаю что делать. Используем ваше лицензионное ПО. Текст для выкупа следующий:

 

======

!!! ALL YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: lingon1@onionmail.com and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: lingon1@onionmail.com
Reserved email: kd8eby0@nuke.africa
In case of no answer in 24 hours write us to this e-mail: kd8eby0@inboxhub.net

Your personal ID: 14D-4A0-6BE

Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

======

etovirus.Zeppelin.rar file.rar

Изменено пользователем Egor2egor
Ссылка на сообщение
Поделиться на другие сайты
45 минут назад, thyrex сказал:

добавил сами файлы, файл с вирусом (пароль - virus). Нужна срочная помощь, спасибо.

 

Извиняюсь, вот файлы addition, frst.txt

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Сообщите нужна ли помощь в очистке системы от его следов.

Ссылка на сообщение
Поделиться на другие сайты

То есть данные утеряны? Ничего больше не сделать? Очистка нужна.

И что это вообще за шифровальщик? Интересно знать на будущее.

 

20 часов назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Сообщите нужна ли помощь в очистке системы от его следов.

То есть данные утеряны? Ничего больше не сделать? Очистка нужна.

И что это вообще за шифровальщик? Интересно знать на будущее.

Ссылка на сообщение
Поделиться на другие сайты

Zeppelin Ransomware, я отметил тэгом темы.

 

10.07.2022 в 21:22, Egor2egor сказал:

То есть данные утеряны? Ничего больше не сделать?

Скорее всего да. Разве что вымогатели сами выложат ключи или их поймают, конфискуют сервера и тоже выложат ключи. Такое хоть и редко, но случается.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-258644576-1403976032-1592068529-1004\...\MountPoints2: {8cedb0bc-38b8-11e9-92e4-e8cc18e8ad03} - F:\LaunchU3.exe -a
    HKU\S-1-5-21-258644576-1403976032-1592068529-1004\...\MountPoints2: {d5da2e30-00e6-11e4-a350-5cd998f57988} - F:\LaunchU3.exe -a
    Task: {C88884A1-9BA1-4053-B96E-044222436D81} - \Windows Update -> Нет файла <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:MSFT_UCScenarioControl.Name=\"Microsoft WMI Updating Consumer Scenario Control\"",Filter="\\.\root\subscription:__EventFilter.Name=\"Microsoft WMI Updating Consumer Scenario Control\"::
    WMI:subscription\__EventFilter->Microsoft WMI Updating Consumer Scenario Control::[Query => SELECT * FROM __InstanceOperationEvent WHERE TargetInstance ISA 'MSFT_UCScenario']
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [406]
    FirewallRules: [C:\Program Files\AVG\Av\avgdiagex.exe-TCP-Standard] => (Allow) C:\Program Files\AVG\Av\avgdiagex.exe => Нет файла
    FirewallRules: [C:\Program Files\AVG\Av\avgdiagex.exe-UDP-Standard] => (Allow) C:\Program Files\AVG\Av\avgdiagex.exe => Нет файла
    FirewallRules: [C:\Program Files\AVG\Av\avgemcx.exe-TCP-Standard] => (Allow) C:\Program Files\AVG\Av\avgemcx.exe => Нет файла
    FirewallRules: [C:\Program Files\AVG\Av\avgemcx.exe-UDP-Standard] => (Allow) C:\Program Files\AVG\Av\avgemcx.exe => Нет файла
    DomainProfile\GloballyOpenPorts: [137:UDP] => Enabled:@xpsp2res.dll,-22001
    DomainProfile\GloballyOpenPorts: [138:UDP] => Enabled:@xpsp2res.dll,-22002
    DomainProfile\GloballyOpenPorts: [139:TCP] => Enabled:@xpsp2res.dll,-22004
    DomainProfile\GloballyOpenPorts: [445:TCP] => Enabled:@xpsp2res.dll,-22005
    StandardProfile\GloballyOpenPorts: [137:UDP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22001
    StandardProfile\GloballyOpenPorts: [138:UDP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22002
    StandardProfile\GloballyOpenPorts: [139:TCP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22004
    StandardProfile\GloballyOpenPorts: [1900:UDP] => :LocalSubNet:Disabled:@xpsp2res.dll,-22007
    StandardProfile\GloballyOpenPorts: [2869:TCP] => :LocalSubNet:Disabled:@xpsp2res.dll,-22008
    StandardProfile\GloballyOpenPorts: [445:TCP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22005
    ExportKey: HKCU\Software\Zeppelin
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Добавил экспорт ключа
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • malex337
      От malex337
      Получили такой вирус. hopeandhonest@smime.ninja[28A11195-F7636750] 
      Один из компьютеров на win764pro sp1, с обновлениями, с kes стандарт, попал этот шифровальщик. Убит полным удалением раздела.
      Хвост [28A11195-F7636750]  видно только с помощью freecommander или аналогов. 
      На других пк пока не обнаружилось. Сервер 2019 тоже молчит, но на древнем 2008 sp2 появились зашифрованные файлы.
      На него ничего не удается поставить из новых антивирусов, стоит kes 10.2.1.23 стандарт и даже не может обновляться, даже интернета на нем нет. 
      Файлы зашифрованные прилагаю, сам вирус не видно, файл с текстом от вымогателя есть с компьютера с windows 7, а на 2008 нет еще. Могу приложить, сохранил на флешке.
      Нужна помощь. 
      1. Можно ли расшифровать? Что делать чтобы сейчас его вылечить?
      2. Какие меры в будущем можно принять не только к двум описываемым пк, но и в целом, дайте, пожалуйста ссылку где можно прочитать.
      До этого kes убивал все на подлете. 
       
      Addition.txt FRST.txt rial1c_выгрузки.zip
    • Evgeny Sergeev
      От Evgeny Sergeev
      Вот лог ещё одного компа, пасс 111.
      01.rar
    • Evgeny Sergeev
      От Evgeny Sergeev
      Друзья. приветствую!
      Пришла беда - вчера зашифровало всё что можно (и что нельзя).
      На компе стоял KAV, от него не осталось и следа - вырубили и снесли.
      В общем, хотелось бы как-то как-то расшифровать.
      Пароль на архивы - 111, кроме самого ZEPPELIN, на него пароль не удалось поставить, т.к. его грохает свежеустановленый каспер и я боюсь потерять шифратор безвозвратно, а так, может, при его наличии есть надежда на восстановление.
      В coded - пара закодированных фалов.
      Addition.rar coded.rar FRST.rar Zeppelin.rar !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
    • Сергей 2022
    • Homenok
      От Homenok
      Trojan:MSIL/Wemaeye.A создает dll файлы при работе в браузере. Dr.Web CureIt! при проверке не выявил угроз. Логи прилагаю.
      CollectionLog-2022.06.24-20.30.zip
×
×
  • Создать...