Перейти к содержанию

Шифровальщик [luisgreen@onionmail.org].[700D5646-0B4F9EA0] и [F304CEB2-FF3F0B5A]

DanStriker
 Поделиться

Рекомендуемые сообщения

DanStriker

DanStriker

Опубликовано
Опубликовано

Система была переустановлена. На тот момент не было действующей антивирусной программы. Файл с требованиями тоже зашифрован, другого нет. Есть ещё файлы с расширением [F304CEB2-FF3F0B5A] от того же шифровальщика, также приложил в архиве.

FRST.txt Addition.txt Files.rar

thyrex

thyrex

Опубликовано
Опубликовано

Каким образом с разницей почти в год Вы умудрились попасть на один и тот же шифровальщик?

 

А еще чудесным образом 2 августа попали и на шифровальщик Loki.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
File: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe
File: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat
File: C:\ProgramData\winlogon.exe
File: C:\Users\Buh\Desktop\._cache_AccountRestore.exe
Startup: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2022-07-31] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2022-08-02] () [Файл не подписан]
2022-08-02 00:45 - 2022-08-02 00:45 - 000029184 ___SH C:\ProgramData\rjfrkkzf.exe
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Public\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Public\Downloads\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Public\Documents\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Buh\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Buh\Downloads\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\Users\Buh\Documents\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\ProgramData\Restore-My-Files.txt
2022-08-02 00:45 - 2022-08-02 00:45 - 000000329 _____ C:\ProgramData\Documents\Restore-My-Files.txt
2022-08-02 00:45 - 2022-07-31 14:32 - 000533504 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2022-08-02 00:44 - 2022-07-31 14:32 - 000533504 ___SH (Microsoft) C:\Users\Buh\AppData\Roaming\winlogon.exe
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

thyrex

thyrex

Опубликовано
Опубликовано

C:\Users\Buh\Desktop\._cache_AccountRestore.exe удалите вручную.

 

28 минут назад, DanStriker сказал:

Никто не занимался безопасностью. Они всё до последнего ждали

Это не тот ответ, которого я ждал. Скажите, с кем выходил на связь распространитель шифровальщика CryLock как год назад, так и в конце июля - начале августа этого года?

DanStriker

DanStriker

Опубликовано
  • Автор
Опубликовано
22 часа назад, thyrex сказал:

C:\Users\Buh\Desktop\._cache_AccountRestore.exe удалите вручную.

 

Это не тот ответ, которого я ждал. Скажите, с кем выходил на связь распространитель шифровальщика CryLock как год назад, так и в конце июля - начале августа этого года?

Есть возможность расшифровать данные?

thyrex

thyrex

Опубликовано
Опубликовано

Конечно. А можно узнать, какую сумму запросил распространитель в этот раз?

DanStriker

DanStriker

Опубликовано
  • Автор
Опубликовано
1 час назад, thyrex сказал:

Конечно. А можно узнать, какую сумму запросил распространитель в этот раз?

Год назад просил сначала 500$ после того как перевели ему эту сумму попросил ещё 350$ и потом пропал. В в этот раз, почти сразу после зашифровки данных, с нами связался парень, который предлагал услуги расшифровки и просил по 3000 руб. за каждое действие, у него получилось расшифровать несколько файлов, но в итоге скинул дешифратор который не подошел и мы перестали с ним общаться

thyrex

thyrex

Опубликовано
Опубликовано

Это был тот же самый распространитель. Он дважды пытался выдать Ваши файлы за свои :) Но получал только скрины содержимого, которые наверняка Вам и демонстрировал.

 

Проверьте ЛС.

DanStriker

DanStriker

Опубликовано
  • Автор
Опубликовано
33 минуты назад, thyrex сказал:

Это был тот же самый распространитель. Он дважды пытался выдать Ваши файлы за свои :) Но получал только скрины содержимого, которые наверняка Вам и демонстрировал.

 

Проверьте ЛС.

Попробовал сделать расшифровку файлов с разными расширениями и ни один не расшифровался, на loki пишет not encrypted а на [700D5646-0B4F9EA0] и [F304CEB2-FF3F0B5A] not valid password

thyrex

thyrex

Опубликовано
Опубликовано
28 минут назад, DanStriker сказал:

на loki пишет not encrypted

Расшифровки Loki нет.

 

Повторно отправил ключи.

DanStriker

DanStriker

Опубликовано
  • Автор
Опубликовано
17 часов назад, thyrex сказал:

Расшифровки Loki нет.

 

Повторно отправил ключи.

Спасибо всё расшифровывает, но только почему-то на диске C. На других дисках не расшифровывает до тех пор пока не переместишь их на C

thyrex

thyrex

Опубликовано
Опубликовано

Без понятия в чем может быть причина. Никакой зависимости от положения файлов быть не должно.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Максим63
      Шифровальщик dectokyo@onionmail.org.
      Автор Максим63
      Добрый день, наше предприятие зашифровал вирус, мы связались, заплатили, они нам прислали дешифратор, но он не расшифровал 90% файлов, только вернул в нормальный вид название, а сам файл открыть не получается. 
      МОЙ КАЛЕНДАРЬ!.xls.[dectokyo@onionmail.org].[mfrieu62bpc2g8].surtr 
      Подскажите как быть?
    • Agatik
      Шифровальщик [kanndata@onionmail.org]
      Автор Agatik
      Помогите решить проблему с Шифровальщиком 
       
      ALL YOUR DATA WAS ENCRYPTED
      Whats Happen?
      Your files are encrypted, and currently unavailable. You can check it: 
      By the way, everything is possible to restore, but you need to follow our instructions. Otherwise, you cant return your data.
      What guarantees?
      It's just a business. We absolutely do not care about you and your deals, except getting benefits.
      If we do not do our work and liabilities - nobody will not cooperate with us.
      It's not in our interests.
      If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key.
      In practise - time is much more valuable than money.
      What should You include in your message?
      1. Your country and city
      2. This TXT file
      3. Some files for free decryption
      Free decryption as guarantee!
      Before paying you send us up to 1 files for free decryption Less than 10M.
      Send pictures, text files. 
      To get this software you need write on our e-mail:
      kanndata@tutanota.com
      Reserve e-mail address to contact us:
      kanndata@onionmail.org
      Your personal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
       
       
      был найден в загрузках текстовый документ 
      Может кто сталкивался с подобный 
      антивирус был установлен 
    • SonG
      Шифровальщик .8sm (#HowToRecover) krypt1@onionmail.org / krypt2@onionmail.org
      Автор SonG
      Вирус зашифровал на NAS сервере (WD) все файлы. Доступа к сбору статистики нет, т.к. это закрытая система WD
      Во вложении 2 архива.
      Есть ли дешифровщик? 
      original.zip
      Архив с зашифрованными данными 
      encrypted.zip
    • organism
      шифратор jinxishere@onionmail.org
      Автор organism
      в выходные зашифровались все файлы, включая 1с
      установленный касперский больше не работает
      прилагаю образцы файлов и  сообщение от вируса
      пароль архива 32768
      эквилибриум.zip
    • DobryiKot
      Зашифровались файлы на сервере видеонаблюдения. [Ex2@onionmail.org].Slide
      Автор DobryiKot
      Здравствуйте. Скорее всего путем взлома RDP соединения Windows словил вирус, который зашифровал файлы как [Ex2@onionmail.org].Slide. В папках с зашифрованными файлами - текстовый файл с требованиями и Id. Возможна ли дешифровка таких файлов?
      зашифрованые файлы.rar
×
×
  • Создать...