Перейти к содержанию

Компьютер зашифрован PayDecryption@gmail.com[FAC615D6].PAY

DRAM
 Share

Рекомендуемые сообщения

DRAM Новичок

DRAM

Опубликовано
Опубликовано

Здравствуйте. Ночью был зашифрован компьютер .  На другой винчестер была установлена новая Win10 и с неё загружена программа drweb cureit которая нашла Trojan.encoder.34144 "Windows Session Manager.exe" и удалила его.

2 зашифрованных файла и требования

отчёт FRST

Извините не нашёл как к письму прикрепить файлы

оригинальная операционная система загружается, но там всё заблокировано

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

24.02.2023 в 14:14, DRAM сказал:

Извините не нашёл как к письму прикрепить файлы

271560552_Screenshot2023-02-26124122.png.db098ff5247e6d099801a43eb883150a.png

 

Похоже на VoidCrypt, расшифровки нет.

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Повторю:

23 часа назад, Sandor сказал:

расшифровки нет

А логи с другой системы бесполезны. Если сможете собрать логи на заражённой системе, попробуем её почистить. Но и только.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2023-02-23] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Windows Session Manager.exe.[PayDecryption@gmail.com][FAC615D6].pay [2023-02-23] () [Файл не подписан]
Startup: C:\Users\SQLTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2023-02-23] () [Файл не подписан]
Startup: C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2023-02-23] () [Файл не подписан]
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Downloads\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Documents\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Desktop\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\LocalLow\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Local\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Downloads\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Documents\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Desktop\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Roaming\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\LocalLow\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Local\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Downloads\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Decrypt-info.txt
2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Documents\Decrypt-info.txt
2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Desktop\Decrypt-info.txt
2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Decrypt-info.txt
2023-02-23 20:36 - 2023-02-23 20:38 - 000000908 _____ C:\ProgramData\Decrypt-info.txt
2023-02-23 20:36 - 2023-02-23 20:36 - 000000908 _____ C:\Program Files (x86)\Decrypt-info.txt
2023-02-23 20:35 - 2023-02-23 20:37 - 000000908 _____ C:\Users\Decrypt-info.txt
2023-02-23 20:35 - 2023-02-23 20:35 - 000000908 _____ C:\Program Files\Decrypt-info.txt
2023-02-23 20:35 - 2023-02-23 20:35 - 000000908 _____ C:\Program Files\Common Files\Decrypt-info.txt
2023-02-23 19:44 - 2023-02-23 19:44 - 000002188 _____ C:\ProgramData\prvkey1.txt.key
2023-02-23 19:44 - 2023-02-23 19:44 - 000000398 ___SH C:\ProgramData\pkey.txt
2023-02-23 19:44 - 2023-02-23 19:44 - 000000008 ___SH C:\ProgramData\IDk.txt
2023-02-23 19:44 - 2023-02-23 19:44 - 000000001 ___SH C:\ProgramData\prvkey1.txt
C:\Users\Администратор.WIN-DFG6CAA4RJK\Desktop\CTF Loader.exe
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Если планируете сохранить зашифрованные файлы в надежде на появление дешифровки в будущем, сохраните также и папку C:\FRST

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Sergei Lomov
      Майнер на компьютере
      От Sergei Lomov
      Здравствуйте, возникла проблема после скачивания и запуска игры с торента, сначала перестал открываться браузер хром появлялось сообщение “Не удается получить доступ к объекту на который ссылается ярлык.Возможно , отсутствуют необходимые разрешения” ,после чего пробовал установить антивирус на что мне появлялось сообщение - “Операция отменена из-за ограничений, действующих на этом компьютере.Обратитесь к системному администратору”. Не мог зайти на ваш сайт с компьютера перекидывало на сайт dns.google.Скачал программу autologger, удалось открыть только в безопасном режиме
      CollectionLog-2024.12.03-20.17.zip
    • Alexey.N
      Шифровальщик mammon (mammoncomltd) зашифровал файлы на компьютере.
      От Alexey.N
      Добрый день!
      Утром 04.10.2024 обнаружили, что на компьютере пропали ярлыки и не открываются файлы.
      На всех папках стоит дата 03.10.24 вечером в 23:10 вирус проник и зашифровал.
      Записка злоумышленников есть, также все файлы имеют расширение почты и код блокировки. 
      Пример: Mail-[mammoncomltd@gmail.com]ID-[КОД БЛОКИРОВКИ].mammn
      Во вложении зашифрованные файлы в архиве и также в другом архиве логи.
       
      Зашифрованные файлы.rar FRST и Addition.rar
    • xSmashQQQ
      Не открываются свойства компьютера.
      От xSmashQQQ
      Добрый вечер.
      Прошу помощи.
      Я захотел проверить свойства системы и зашел в панель управления-система. У меня она не открылась и я решил попробовать. Этот компьютер-свойства. Опять не открылось. Я попробовал вводить sfc /scannow, вроде что то исправила, но опять ничего не открылось, компьютер перезапускал. Мне нужна ваша помощь. Заранее спасибо
    • Федор45
      Базы зашифрованы
      От Федор45
      Добрый день!
      Утром получили зашифрованные базы 1С, другие продукты не тронуты
       
      FRST.txt Addition.txt
      для примера зашифрованный архив
      БАНК.rar
    • vika_
      Помощь в содержимом компьютера
      От vika_
      Добрый день! Компьютеру лет 10, вообще не разбираюсь, что и как у него. Решила включить, вроде заработал, но сильно шумел. Подумала, что надо друга то почистить,  но вот, когда открыла, поняла, что не знаю как действовать.
       Во-первых, лежали две детали, без своего места. Во-вторых, смутили 3 провода, которые висели, не подключенные никуда. Ну и в-третьих, можно ли аккуратно снять вентилятор и почистить за ним, боюсь чтоб не случилось ничего(
      Прошу понять и простить меня: в компьютерах совсем 0((


×
×
  • Создать...