Перейти к содержанию

Компьютер зашифрован PayDecryption@gmail.com[FAC615D6].PAY

DRAM
 Поделиться

Рекомендуемые сообщения

DRAM

DRAM

Опубликовано
Опубликовано

Здравствуйте. Ночью был зашифрован компьютер .  На другой винчестер была установлена новая Win10 и с неё загружена программа drweb cureit которая нашла Trojan.encoder.34144 "Windows Session Manager.exe" и удалила его.

2 зашифрованных файла и требования

отчёт FRST

Извините не нашёл как к письму прикрепить файлы

оригинальная операционная система загружается, но там всё заблокировано

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

24.02.2023 в 14:14, DRAM сказал:

Извините не нашёл как к письму прикрепить файлы

271560552_Screenshot2023-02-26124122.png.db098ff5247e6d099801a43eb883150a.png

 

Похоже на VoidCrypt, расшифровки нет.

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Повторю:

23 часа назад, Sandor сказал:

расшифровки нет

А логи с другой системы бесполезны. Если сможете собрать логи на заражённой системе, попробуем её почистить. Но и только.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2023-02-23] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Windows Session Manager.exe.[PayDecryption@gmail.com][FAC615D6].pay [2023-02-23] () [Файл не подписан]
Startup: C:\Users\SQLTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2023-02-23] () [Файл не подписан]
Startup: C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2023-02-23] () [Файл не подписан]
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Downloads\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Documents\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Desktop\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\LocalLow\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Local\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Downloads\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Documents\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Desktop\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Roaming\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\LocalLow\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Local\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Downloads\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Decrypt-info.txt
2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Documents\Decrypt-info.txt
2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Desktop\Decrypt-info.txt
2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Decrypt-info.txt
2023-02-23 20:36 - 2023-02-23 20:38 - 000000908 _____ C:\ProgramData\Decrypt-info.txt
2023-02-23 20:36 - 2023-02-23 20:36 - 000000908 _____ C:\Program Files (x86)\Decrypt-info.txt
2023-02-23 20:35 - 2023-02-23 20:37 - 000000908 _____ C:\Users\Decrypt-info.txt
2023-02-23 20:35 - 2023-02-23 20:35 - 000000908 _____ C:\Program Files\Decrypt-info.txt
2023-02-23 20:35 - 2023-02-23 20:35 - 000000908 _____ C:\Program Files\Common Files\Decrypt-info.txt
2023-02-23 19:44 - 2023-02-23 19:44 - 000002188 _____ C:\ProgramData\prvkey1.txt.key
2023-02-23 19:44 - 2023-02-23 19:44 - 000000398 ___SH C:\ProgramData\pkey.txt
2023-02-23 19:44 - 2023-02-23 19:44 - 000000008 ___SH C:\ProgramData\IDk.txt
2023-02-23 19:44 - 2023-02-23 19:44 - 000000001 ___SH C:\ProgramData\prvkey1.txt
C:\Users\Администратор.WIN-DFG6CAA4RJK\Desktop\CTF Loader.exe
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Если планируете сохранить зашифрованные файлы в надежде на появление дешифровки в будущем, сохраните также и папку C:\FRST

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Владимир Д.
      Защифровали компьютер. [Rdpdik6@gmail.com].lockedfile
      Автор Владимир Д.
      В выходные подобрали пароль от входа через удаленный рабочий стол и зашифровали компьютер. Также третьими лицами были внесены изменения в систему, при загрузке появляется сообщение (см. Изображение WhatsApp 2025-08-11.jpg), а вход под другой учетной записи не возможен, ошибка - Службе "Служба профилей пользователей" не удалось войти в систему. Невозможно загрузить профиль пользователя.
      Сканирование Farbar Recovery Scan Tool производилось из среды восстановления Windows.
       

      FRST.rar
    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Зашифровали компьютер
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
    • Алеся Сорокина
      Поймали на компьютере шифровальщик
      Автор Алеся Сорокина
      Операционная система была переустановлена. Письмо и примеры файлов приложили. Пароль на архив virus
      virus.zip
    • Technician6
      Не переносятся компьютеры в группу.
      Автор Technician6
      Имеем корп сервер KSC14 - компьютеры видны, но в управляемых, когда переносишь их в нужную группу, они просто не переносятся и вываливается ошибка как на скрине.

       
      ни через веб интерфейс ни через консоль не переносится. Вопрос, как исправить?
×
×
  • Создать...