Перейти к содержанию

Добрый день. Поймали шифровальщика. Что либо можно сделать?

Alex29
 Share Подписчики 2

Рекомендуемые сообщения

Alex29

Alex29 0

Опубликовано
Опубликовано

Вчера поймали шифровальщика.. Можно как то разлочить?

!!! ALL YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: royroy@cock.li and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: royroy@cock.li
Reserved email: colambia@tutanota.com

1. Visit https://tox.chat/download.html
2. Download and install qTOX on your PC. 
3. Open it, click "New Profile" and create profile. 
4. Click "Add friends" button and search our contact - 126E30C4CC9DE90F79D1FA90830FDC2069A2E981ED26B6DC148DA8827FB3D63A1B46CFDEC191

Your personal ID: 172-609-684

Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Здравствуйте.

 

Выполните Правила оформления запроса о помощи

Все необходимое прикрепите к следующему сообщению в данной теме.

Ссылка на сообщение
Поделиться на другие сайты
Alex29

Alex29 0

Опубликовано
  • Автор
Опубликовано (изменено)

Очень жаль.. 

 

2 часа назад, thyrex сказал:

Увы, расшифровки для Zeppelin нет.

Очень жаль.. А чем можно "вылечить" последствия? (Остатки удалить)

Изменено пользователем Alex29
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Даже встроенный Администратор не отключен. Непорядок.

 

 

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\Kostrov_na\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT [2022-08-11] () [Файл не подписан]
Startup: C:\Users\Администратор.NM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT [2022-08-11] () [Файл не подписан]
2022-08-11 01:48 - 2022-08-11 01:48 - 000001195 _____ C:\Windows\Tasks\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\Documents\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\Roaming\Microsoft\Windows\Start Menu\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\Roaming\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\LocalLow\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\Local\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Public\Documents\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Администратор.NM\AppData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Администратор.NM\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Public\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Public\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\Documents\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\Desktop\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\Roaming\Microsoft\Windows\Start Menu\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\Roaming\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\LocalLow\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\Local\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\Documents\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\Desktop\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\Roaming\Microsoft\Windows\Start Menu\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\Roaming\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\LocalLow\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\Local\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\ProgramData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:22 - 2022-08-11 01:22 - 000001195 _____ C:\Users\Администратор.NM\Desktop\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
FirewallRules: [{8FF5A9AF-8399-43F2-A1B2-B70D496DB5C8}] => (Allow) D:\Program Files\Microsoft SQL Server\SQL Server 2019\MSSQL15.SQL2019\MSSQL\Binn\sqlservr.exe => Нет файла
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

Ссылка на сообщение
Поделиться на другие сайты
Alex29

Alex29 0

Опубликовано
  • Автор
Опубликовано
11 минут назад, thyrex сказал:

Даже встроенный Администратор не отключен. Непорядок.

 

 

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 


Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\Kostrov_na\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT [2022-08-11] () [Файл не подписан]
Startup: C:\Users\Администратор.NM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT [2022-08-11] () [Файл не подписан]
2022-08-11 01:48 - 2022-08-11 01:48 - 000001195 _____ C:\Windows\Tasks\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\Documents\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\Roaming\Microsoft\Windows\Start Menu\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\Roaming\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:45 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\LocalLow\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Администратор.NM\AppData\Local\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:45 - 000001195 _____ C:\Users\Public\Documents\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Администратор.NM\AppData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Администратор.NM\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Public\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Public\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\Documents\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\Desktop\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\Roaming\Microsoft\Windows\Start Menu\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\Roaming\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\LocalLow\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\Local\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\AppData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\Kostrov_na\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\Documents\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\Desktop\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\Roaming\Microsoft\Windows\Start Menu\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\Roaming\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\LocalLow\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\Local\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\AppData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\Users\1cv8\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:44 - 2022-08-11 01:44 - 000001195 _____ C:\ProgramData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2022-08-11 01:22 - 2022-08-11 01:22 - 000001195 _____ C:\Users\Администратор.NM\Desktop\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
FirewallRules: [{8FF5A9AF-8399-43F2-A1B2-B70D496DB5C8}] => (Allow) D:\Program Files\Microsoft SQL Server\SQL Server 2019\MSSQL15.SQL2019\MSSQL\Binn\sqlservr.exe => Нет файла
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
     

 

 

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Oleg2024
      Восстановление сервера после шифрования Zeppelin
      От Oleg2024
      Добрый день.
       
      Один из серверов с Windows Server 2012 R2 , серверами приложений и базами данных  был ранее зашифрован Zeppelin.
      При обнаружении, сервер был отключен от ЛВС и питания. Также заражен был внешний диск с полным бэкапом сервера.
      Бэкап был проверен на вирус и программой дешифратором Rakhni decryptor.  Расшифровка удалась полностью.
       
      Сейчас появилось время восстановить сервер. При включении - ОС грузится. При проверке  свежей утилитой KVRT был обнаружен файл Zeppelin.exe, пока он не уничтожался.
      Задача:     восстановить сервер, желательно без переустановки.
      Связано со сложностью установки и настройки,  использованием зарубежного серверного ПО и необходимостью при переустановке его повторного онлайн лицензирования в "недружественном" государстве.
       
      Какие будут  рекомендации?
       
      Логи  Farbar Recovery Scan Tool прилагаются
       
       
      FRST.7z
    • specmont
      Зашифровало все рабочие файлы на серверах оффиса
      От specmont
      В пятницу все было нормально. В понедельник на всех серверах и файловом хранилище типа Synology все файлы оказались зашифрованными, к ним добавилось расширение ".loplup.1B5-77D-C3D" и в каждой папке лежит текстовый файл с названием !!! ALL YOUR FILES ARE ENCRYPTED !!! Файл вируса называется Zeppelin.exe Кроме того зашифрованы бэкапы систем серверов. Архив с файлами логов Farbar Recovery письмом и зашифрованными файлами находятся по ссылке: https://disk.yandex.ru/d/IGIE8Cnl0fRQjA
       
       
    • Алексей ТК ПП
      Шифровальщик - вымогатель
      От Алексей ТК ПП
      Добрый день. Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.
      основная проблема с 1С. файлы зашифрованы + бэкапы тоже.
      Помогите пжл советом и делом.
      Шифровальщик.rar !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
    • Vyacheslv B.
      Шифратор Zeppelin
      От Vyacheslv B.
      Здравствуйте. Пострадал от действий вируса-шифровальщика. Возможно ли восстановить файлы?
       
       
       
      encrypt.zipFRST.zip
    • Алексус
      Шифрование файлов вирусом-шифрвальщиком LOPLUP
      От Алексус
      Файловый сервер и сервер резервных копий были поражены вирусом-шифровальщиком LOPLUP. Есть ли надежда на восстановление зашифрованных файлов?
      Encrypted Files.zip
×
×
  • Создать...