Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик [luisgreen@onionmail.org].[700D5646-0B4F9EA0] и [F304CEB2-FF3F0B5A]

DanStriker
 Поделиться

Рекомендуемые сообщения

DanStriker Новичок

DanStriker

Опубликовано
Опубликовано

Система была переустановлена. На тот момент не было действующей антивирусной программы. Файл с требованиями тоже зашифрован, другого нет. Есть ещё файлы с расширением [F304CEB2-FF3F0B5A] от того же шифровальщика, также приложил в архиве.

FRST.txt Addition.txt Files.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Каким образом с разницей почти в год Вы умудрились попасть на один и тот же шифровальщик?

 

А еще чудесным образом 2 августа попали и на шифровальщик Loki.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
File: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe
File: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat
File: C:\ProgramData\winlogon.exe
File: C:\Users\Buh\Desktop\._cache_AccountRestore.exe
Startup: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2022-07-31] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2022-08-02] () [Файл не подписан]
2022-08-02 00:45 - 2022-08-02 00:45 - 000029184 ___SH C:\ProgramData\rjfrkkzf.exe
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Public\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Public\Downloads\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Public\Documents\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Buh\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Buh\Downloads\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Buh\Documents\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\ProgramData\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\ProgramData\Documents\Restore-My-Files.txt
2022-08-02 00:45 - 2022-07-31 14:32 - 000533504 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2022-08-02 00:44 - 2022-07-31 14:32 - 000533504 ___SH (Microsoft) C:\Users\Buh\AppData\Roaming\winlogon.exe
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

C:\Users\Buh\Desktop\._cache_AccountRestore.exe удалите вручную.

 

28 минут назад, DanStriker сказал:

Никто не занимался безопасностью. Они всё до последнего ждали

Это не тот ответ, которого я ждал. Скажите, с кем выходил на связь распространитель шифровальщика CryLock как год назад, так и в конце июля - начале августа этого года?

Ссылка на комментарий
Поделиться на другие сайты
DanStriker Новичок

DanStriker

Опубликовано
  • Автор
Опубликовано
22 часа назад, thyrex сказал:

C:\Users\Buh\Desktop\._cache_AccountRestore.exe удалите вручную.

 

Это не тот ответ, которого я ждал. Скажите, с кем выходил на связь распространитель шифровальщика CryLock как год назад, так и в конце июля - начале августа этого года?

Есть возможность расшифровать данные?

Ссылка на комментарий
Поделиться на другие сайты
DanStriker Новичок

DanStriker

Опубликовано
  • Автор
Опубликовано
1 час назад, thyrex сказал:

Конечно. А можно узнать, какую сумму запросил распространитель в этот раз?

Год назад просил сначала 500$ после того как перевели ему эту сумму попросил ещё 350$ и потом пропал. В в этот раз, почти сразу после зашифровки данных, с нами связался парень, который предлагал услуги расшифровки и просил по 3000 руб. за каждое действие, у него получилось расшифровать несколько файлов, но в итоге скинул дешифратор который не подошел и мы перестали с ним общаться

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Это был тот же самый распространитель. Он дважды пытался выдать Ваши файлы за свои :) Но получал только скрины содержимого, которые наверняка Вам и демонстрировал.

 

Проверьте ЛС.

Ссылка на комментарий
Поделиться на другие сайты
DanStriker Новичок

DanStriker

Опубликовано
  • Автор
Опубликовано
33 минуты назад, thyrex сказал:

Это был тот же самый распространитель. Он дважды пытался выдать Ваши файлы за свои :) Но получал только скрины содержимого, которые наверняка Вам и демонстрировал.

 

Проверьте ЛС.

Попробовал сделать расшифровку файлов с разными расширениями и ни один не расшифровался, на loki пишет not encrypted а на [700D5646-0B4F9EA0] и [F304CEB2-FF3F0B5A] not valid password

Ссылка на комментарий
Поделиться на другие сайты
DanStriker Новичок

DanStriker

Опубликовано
  • Автор
Опубликовано
17 часов назад, thyrex сказал:

Расшифровки Loki нет.

 

Повторно отправил ключи.

Спасибо всё расшифровывает, но только почему-то на диске C. На других дисках не расшифровывает до тех пор пока не переместишь их на C

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • SonG
      Шифровальщик .8sm (#HowToRecover) krypt1@onionmail.org / krypt2@onionmail.org
      Автор SonG
      Вирус зашифровал на NAS сервере (WD) все файлы. Доступа к сбору статистики нет, т.к. это закрытая система WD
      Во вложении 2 архива.
      Есть ли дешифровщик? 
      original.zip
      Архив с зашифрованными данными 
      encrypted.zip
    • 08Sergey
      Шифровальщик .eking
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • vmax
      Шифровальщик 13
      Автор vmax
      Шифровальщик зашифровал все файлы, даже архивы, помогите, не знаю что делать. В архиве две заражённые картинки.
      1.jpg.id[3493C0DF-3274].[xlll@imap.cc].zip
    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
×
×
  • Создать...