Перейти к содержанию

Шифровальщик [luisgreen@onionmail.org].[700D5646-0B4F9EA0] и [F304CEB2-FF3F0B5A]


Рекомендуемые сообщения

Система была переустановлена. На тот момент не было действующей антивирусной программы. Файл с требованиями тоже зашифрован, другого нет. Есть ещё файлы с расширением [F304CEB2-FF3F0B5A] от того же шифровальщика, также приложил в архиве.

FRST.txt Addition.txt Files.rar

Ссылка на сообщение
Поделиться на другие сайты

Каким образом с разницей почти в год Вы умудрились попасть на один и тот же шифровальщик?

 

А еще чудесным образом 2 августа попали и на шифровальщик Loki.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
File: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe
File: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat
File: C:\ProgramData\winlogon.exe
File: C:\Users\Buh\Desktop\._cache_AccountRestore.exe
Startup: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2022-07-31] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2022-08-02] () [Файл не подписан]
2022-08-02 00:45 - 2022-08-02 00:45 - 000029184 ___SH C:\ProgramData\rjfrkkzf.exe
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Public\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Public\Downloads\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Public\Documents\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Buh\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Buh\Downloads\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Buh\Documents\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\ProgramData\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\ProgramData\Documents\Restore-My-Files.txt
2022-08-02 00:45 - 2022-07-31 14:32 - 000533504 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2022-08-02 00:44 - 2022-07-31 14:32 - 000533504 ___SH (Microsoft) C:\Users\Buh\AppData\Roaming\winlogon.exe
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

Ссылка на сообщение
Поделиться на другие сайты

C:\Users\Buh\Desktop\._cache_AccountRestore.exe удалите вручную.

 

28 минут назад, DanStriker сказал:

Никто не занимался безопасностью. Они всё до последнего ждали

Это не тот ответ, которого я ждал. Скажите, с кем выходил на связь распространитель шифровальщика CryLock как год назад, так и в конце июля - начале августа этого года?

Ссылка на сообщение
Поделиться на другие сайты
22 часа назад, thyrex сказал:

C:\Users\Buh\Desktop\._cache_AccountRestore.exe удалите вручную.

 

Это не тот ответ, которого я ждал. Скажите, с кем выходил на связь распространитель шифровальщика CryLock как год назад, так и в конце июля - начале августа этого года?

Есть возможность расшифровать данные?

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, thyrex сказал:

Конечно. А можно узнать, какую сумму запросил распространитель в этот раз?

Год назад просил сначала 500$ после того как перевели ему эту сумму попросил ещё 350$ и потом пропал. В в этот раз, почти сразу после зашифровки данных, с нами связался парень, который предлагал услуги расшифровки и просил по 3000 руб. за каждое действие, у него получилось расшифровать несколько файлов, но в итоге скинул дешифратор который не подошел и мы перестали с ним общаться

Ссылка на сообщение
Поделиться на другие сайты

Это был тот же самый распространитель. Он дважды пытался выдать Ваши файлы за свои :) Но получал только скрины содержимого, которые наверняка Вам и демонстрировал.

 

Проверьте ЛС.

Ссылка на сообщение
Поделиться на другие сайты
33 минуты назад, thyrex сказал:

Это был тот же самый распространитель. Он дважды пытался выдать Ваши файлы за свои :) Но получал только скрины содержимого, которые наверняка Вам и демонстрировал.

 

Проверьте ЛС.

Попробовал сделать расшифровку файлов с разными расширениями и ни один не расшифровался, на loki пишет not encrypted а на [700D5646-0B4F9EA0] и [F304CEB2-FF3F0B5A] not valid password

Ссылка на сообщение
Поделиться на другие сайты
17 часов назад, thyrex сказал:

Расшифровки Loki нет.

 

Повторно отправил ключи.

Спасибо всё расшифровывает, но только почему-то на диске C. На других дисках не расшифровывает до тех пор пока не переместишь их на C

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...