voidcrypt Компьютер зашифрован PayDecryption@gmail.com[FAC615D6].PAY

[DRAM]

Здравствуйте. Ночью был зашифрован компьютер .  На другой винчестер была установлена новая Win10 и с неё загружена программа drweb cureit которая нашла Trojan.encoder.34144 "Windows Session Manager.exe" и удалила его.

2 зашифрованных файла и требования

отчёт FRST

Извините не нашёл как к письму прикрепить файлы

оригинальная операционная система загружается, но там всё заблокировано

[Sandor]

Здравствуйте!

 

24.02.2023 в 14:14, DRAM сказал:

Извините не нашёл как к письму прикрепить файлы

 

Похоже на VoidCrypt, расшифровки нет.

 

[DRAM]

prvkey1.txt.rar Addition.txt FRST.txt

[Sandor]

Повторю:

23 часа назад, Sandor сказал:

расшифровки нет

А логи с другой системы бесполезны. Если сможете собрать логи на заражённой системе, попробуем её почистить. Но и только.

[DRAM]

Логи с зараженной системы

Addition.txt FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2023-02-23] () [Файл не подписан]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Windows Session Manager.exe.[PayDecryption@gmail.com][FAC615D6].pay [2023-02-23] () [Файл не подписан]
  Startup: C:\Users\SQLTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2023-02-23] () [Файл не подписан]
  Startup: C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2023-02-23] () [Файл не подписан]
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Downloads\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Documents\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Desktop\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\LocalLow\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Local\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Downloads\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Documents\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Desktop\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Roaming\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\LocalLow\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Local\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Downloads\Decrypt-info.txt
  2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Decrypt-info.txt
  2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Documents\Decrypt-info.txt
  2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Desktop\Decrypt-info.txt
  2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
  2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Decrypt-info.txt
  2023-02-23 20:36 - 2023-02-23 20:38 - 000000908 _____ C:\ProgramData\Decrypt-info.txt
  2023-02-23 20:36 - 2023-02-23 20:36 - 000000908 _____ C:\Program Files (x86)\Decrypt-info.txt
  2023-02-23 20:35 - 2023-02-23 20:37 - 000000908 _____ C:\Users\Decrypt-info.txt
  2023-02-23 20:35 - 2023-02-23 20:35 - 000000908 _____ C:\Program Files\Decrypt-info.txt
  2023-02-23 20:35 - 2023-02-23 20:35 - 000000908 _____ C:\Program Files\Common Files\Decrypt-info.txt
  2023-02-23 19:44 - 2023-02-23 19:44 - 000002188 _____ C:\ProgramData\prvkey1.txt.key
  2023-02-23 19:44 - 2023-02-23 19:44 - 000000398 ___SH C:\ProgramData\pkey.txt
  2023-02-23 19:44 - 2023-02-23 19:44 - 000000008 ___SH C:\ProgramData\IDk.txt
  2023-02-23 19:44 - 2023-02-23 19:44 - 000000001 ___SH C:\ProgramData\prvkey1.txt
  C:\Users\Администратор.WIN-DFG6CAA4RJK\Desktop\CTF Loader.exe
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Если планируете сохранить зашифрованные файлы в надежде на появление дешифровки в будущем, сохраните также и папку C:\FRST