Перейти к содержанию

Рекомендуемые сообщения

Добрый вечер. Словил какого-то шифровальщика (.ZEPPELIN - появился такой файл вместе с зашифроваными файлами, которые стали формата .kd8eby0.14D-4A0-6BE) не знаю что делать. Используем ваше лицензионное ПО. Текст для выкупа следующий:

 

======

!!! ALL YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: lingon1@onionmail.com and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: lingon1@onionmail.com
Reserved email: kd8eby0@nuke.africa
In case of no answer in 24 hours write us to this e-mail: kd8eby0@inboxhub.net

Your personal ID: 14D-4A0-6BE

Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

======

etovirus.Zeppelin.rar file.rar

Изменено пользователем Egor2egor
Ссылка на сообщение
Поделиться на другие сайты
45 минут назад, thyrex сказал:

добавил сами файлы, файл с вирусом (пароль - virus). Нужна срочная помощь, спасибо.

 

Извиняюсь, вот файлы addition, frst.txt

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Сообщите нужна ли помощь в очистке системы от его следов.

Ссылка на сообщение
Поделиться на другие сайты

То есть данные утеряны? Ничего больше не сделать? Очистка нужна.

И что это вообще за шифровальщик? Интересно знать на будущее.

 

20 часов назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Сообщите нужна ли помощь в очистке системы от его следов.

То есть данные утеряны? Ничего больше не сделать? Очистка нужна.

И что это вообще за шифровальщик? Интересно знать на будущее.

Ссылка на сообщение
Поделиться на другие сайты

Zeppelin Ransomware, я отметил тэгом темы.

 

10.07.2022 в 21:22, Egor2egor сказал:

То есть данные утеряны? Ничего больше не сделать?

Скорее всего да. Разве что вымогатели сами выложат ключи или их поймают, конфискуют сервера и тоже выложат ключи. Такое хоть и редко, но случается.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-258644576-1403976032-1592068529-1004\...\MountPoints2: {8cedb0bc-38b8-11e9-92e4-e8cc18e8ad03} - F:\LaunchU3.exe -a
    HKU\S-1-5-21-258644576-1403976032-1592068529-1004\...\MountPoints2: {d5da2e30-00e6-11e4-a350-5cd998f57988} - F:\LaunchU3.exe -a
    Task: {C88884A1-9BA1-4053-B96E-044222436D81} - \Windows Update -> Нет файла <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:MSFT_UCScenarioControl.Name=\"Microsoft WMI Updating Consumer Scenario Control\"",Filter="\\.\root\subscription:__EventFilter.Name=\"Microsoft WMI Updating Consumer Scenario Control\"::
    WMI:subscription\__EventFilter->Microsoft WMI Updating Consumer Scenario Control::[Query => SELECT * FROM __InstanceOperationEvent WHERE TargetInstance ISA 'MSFT_UCScenario']
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [406]
    FirewallRules: [C:\Program Files\AVG\Av\avgdiagex.exe-TCP-Standard] => (Allow) C:\Program Files\AVG\Av\avgdiagex.exe => Нет файла
    FirewallRules: [C:\Program Files\AVG\Av\avgdiagex.exe-UDP-Standard] => (Allow) C:\Program Files\AVG\Av\avgdiagex.exe => Нет файла
    FirewallRules: [C:\Program Files\AVG\Av\avgemcx.exe-TCP-Standard] => (Allow) C:\Program Files\AVG\Av\avgemcx.exe => Нет файла
    FirewallRules: [C:\Program Files\AVG\Av\avgemcx.exe-UDP-Standard] => (Allow) C:\Program Files\AVG\Av\avgemcx.exe => Нет файла
    DomainProfile\GloballyOpenPorts: [137:UDP] => Enabled:@xpsp2res.dll,-22001
    DomainProfile\GloballyOpenPorts: [138:UDP] => Enabled:@xpsp2res.dll,-22002
    DomainProfile\GloballyOpenPorts: [139:TCP] => Enabled:@xpsp2res.dll,-22004
    DomainProfile\GloballyOpenPorts: [445:TCP] => Enabled:@xpsp2res.dll,-22005
    StandardProfile\GloballyOpenPorts: [137:UDP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22001
    StandardProfile\GloballyOpenPorts: [138:UDP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22002
    StandardProfile\GloballyOpenPorts: [139:TCP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22004
    StandardProfile\GloballyOpenPorts: [1900:UDP] => :LocalSubNet:Disabled:@xpsp2res.dll,-22007
    StandardProfile\GloballyOpenPorts: [2869:TCP] => :LocalSubNet:Disabled:@xpsp2res.dll,-22008
    StandardProfile\GloballyOpenPorts: [445:TCP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22005
    ExportKey: HKCU\Software\Zeppelin
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Добавил экспорт ключа
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Sahrov Max
      От Sahrov Max
      Добрый день!
      Прошу помощи пожалуйста, файлы были зашифрованы.

      Ссылка на .ZIP архив зашифрованных файлов для примера.
      https://cloud.mail.ru/public/aC41/uo4hcyqDw

      Что делать ? 
      Спасибо!
      ТУРВ.zip
    • valentin868
      От valentin868
      Здравствуйте!
      Все работало стабильно, выключил компьютер два месяца не работал, после включение обнаружил что все зашифровано.
      Вопрос: подключилархиве с паролем2.rarся к этому компьютеру удаленно с другого и скопировал папку, получается этот комп тоже заразился и те кто в сети с этим компьютером?
      FRST.txt Addition.txt
    • Realhike
      От Realhike
      Здравствуйте, dialersvc32.job и dialersvc64.job не удаляются, видеокарта загружена на 95-100% при подключении к сети интернет

      CollectionLog-2022.09.20-10.02.zip
    • Дмитрий93
      От Дмитрий93
      Добрый день, зашифровали файлы. Есть ли возможность расшифровки?
      Письмо во вложении. Globeimposter-Alpha666qqz расширение файла стало такое.
      HOW TO BACK YOUR FILES.txt
    • Vlad23
      От Vlad23
      Помогите пожалуйста, заразились вирусом шифровальщиком несколько компьютеров и серверов в корпоративной сети. Просканировал с помощью KVRT. Большинство файлов зашифрованы, как их расшифровать? Спасибо
      !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT CollectionLog-2022.08.30-12.44.zip
×
×
  • Создать...