Перейти к содержанию

Добрый день. Поймали шифровальщика. Что либо можно сделать?

Alex29
 Share Подписчики 2

Рекомендуемые сообщения

Alex29

Alex29 0

Опубликовано
Опубликовано

Вчера поймали шифровальщика.. Можно как то разлочить?

!!! ALL YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: royroy@cock.li and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: royroy@cock.li
Reserved email: colambia@tutanota.com

1. Visit https://tox.chat/download.html
2. Download and install qTOX on your PC. 
3. Open it, click "New Profile" and create profile. 
4. Click "Add friends" button and search our contact - 126E30C4CC9DE90F79D1FA90830FDC2069A2E981ED26B6DC148DA8827FB3D63A1B46CFDEC191

Your personal ID: 172-609-684

Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1357

Опубликовано
Опубликовано

Здравствуйте.

 

Выполните Правила оформления запроса о помощи

Все необходимое прикрепите к следующему сообщению в данной теме.

Ссылка на сообщение
Поделиться на другие сайты
Alex29

Alex29 0

Опубликовано
  • Автор
Опубликовано (изменено)

Очень жаль.. 

 

2 часа назад, thyrex сказал:

Увы, расшифровки для Zeppelin нет.

Очень жаль.. А чем можно "вылечить" последствия? (Остатки удалить)

Изменено пользователем Alex29
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1357

Опубликовано
Опубликовано

Даже встроенный Администратор не отключен. Непорядок.

 

 

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\Kostrov_na\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT [2022-08-11] () [Файл не подписан]
Startup: C:\Users\Администратор.NM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT [2022-08-11] () [Файл не подписан]
2022-08-11 01:48 - 2022-08-11 01:48 - 000001195 _____ C:\Windows\Tasks\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\Documents\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\Roaming\Microsoft\Windows\Start Menu\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\Roaming\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\LocalLow\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\Local\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Public\Documents\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Администратор.NM\AppData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Администратор.NM\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Public\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Public\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\Documents\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\Desktop\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\Roaming\Microsoft\Windows\Start Menu\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\Roaming\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\LocalLow\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\Local\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\Documents\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\Desktop\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\Roaming\Microsoft\Windows\Start Menu\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\Roaming\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\LocalLow\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\Local\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\ProgramData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:22 - 2022-08-11 01:22 - 000001195 _____ C:\Users\Администратор.NM\Desktop\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
FirewallRules: [{8FF5A9AF-8399-43F2-A1B2-B70D496DB5C8}] => (Allow) D:\Program Files\Microsoft SQL Server\SQL Server 2019\MSSQL15.SQL2019\MSSQL\Binn\sqlservr.exe => Нет файла
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

Ссылка на сообщение
Поделиться на другие сайты
Alex29

Alex29 0

Опубликовано
  • Автор
Опубликовано
11 минут назад, thyrex сказал:

Даже встроенный Администратор не отключен. Непорядок.

 

 

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 


Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\Kostrov_na\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT [2022-08-11] () [Файл не подписан]
Startup: C:\Users\Администратор.NM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT [2022-08-11] () [Файл не подписан]
2022-08-11 01:48 - 2022-08-11 01:48 - 000001195 _____ C:\Windows\Tasks\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\Documents\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\Roaming\Microsoft\Windows\Start Menu\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\Roaming\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\LocalLow\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\Local\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Public\Documents\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Администратор.NM\AppData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Администратор.NM\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Public\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Public\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\Documents\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\Desktop\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\Roaming\Microsoft\Windows\Start Menu\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\Roaming\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\LocalLow\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\Local\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\Documents\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\Desktop\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\Roaming\Microsoft\Windows\Start Menu\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\Roaming\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\LocalLow\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\Local\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\ProgramData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:22 - 2022-08-11 01:22 - 000001195 _____ C:\Users\Администратор.NM\Desktop\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
FirewallRules: [{8FF5A9AF-8399-43F2-A1B2-B70D496DB5C8}] => (Allow) D:\Program Files\Microsoft SQL Server\SQL Server 2019\MSSQL15.SQL2019\MSSQL\Binn\sqlservr.exe => Нет файла
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
     

 

 

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Vlad23
      Вирус шифровальщик, что делать?
      От Vlad23
      Помогите пожалуйста, заразились вирусом шифровальщиком несколько компьютеров и серверов в корпоративной сети. Просканировал с помощью KVRT. Большинство файлов зашифрованы, как их расшифровать? Спасибо
      !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT CollectionLog-2022.08.30-12.44.zip
    • Семеновский Александр
      Шифровальщик Zeppelin
      От Семеновский Александр
      Добрый день! На рабочем столе обнаружен бинарник Zeppelin и письмо от вымогателей. Бинарник запакован в RAR с паролем 123456789. Так же прикладываю письмо и образец зашифрованного файла. Так же прикладываю дамп ветки реестра с ключами шифрования Zeppelin. Есть ли шанс расшифровать? 
      Спасибо!
      CollectionLog-2022.08.24-13.38.zip Zeppelin.exe-pass-123456789.rar !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT domain w32time.reg.loplup.zip Ключи DC1.zip
    • Николай33
      Зашифрованно colambia.331-944-85E
      От Николай33
      В файле отчеты скан с машинки, но тут кажется нет ничего, файлы с названием ключа касперского, там 2 файла 1 защифрованный , другой оригинальный. Плюс текст сообщения шифровальщика. Использовался касперский KES. 
      !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT 17E0-210311-074050-030-1481.zip Отчеты.zip
    • Gatavaug
      zeppelin
      От Gatavaug
      Умы форума, а в теории можно расшифровать пак AES-256 в связке с RSA-2048?
      И сколько понадобится времени на сей сложный процесс?
    • Evgeny Sergeev
      Zeppelin, лог FRST
      От Evgeny Sergeev
      Вот лог ещё одного компа, пасс 111.
      01.rar
×
×
  • Создать...