Перейти к содержанию

Компьютер зашифрован PayDecryption@gmail.com[FAC615D6].PAY


Рекомендуемые сообщения

Здравствуйте. Ночью был зашифрован компьютер .  На другой винчестер была установлена новая Win10 и с неё загружена программа drweb cureit которая нашла Trojan.encoder.34144 "Windows Session Manager.exe" и удалила его.

2 зашифрованных файла и требования

отчёт FRST

Извините не нашёл как к письму прикрепить файлы

оригинальная операционная система загружается, но там всё заблокировано

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

24.02.2023 в 14:14, DRAM сказал:

Извините не нашёл как к письму прикрепить файлы

271560552_Screenshot2023-02-26124122.png.db098ff5247e6d099801a43eb883150a.png

 

Похоже на VoidCrypt, расшифровки нет.

 

Ссылка на комментарий
Поделиться на другие сайты

Повторю:

23 часа назад, Sandor сказал:

расшифровки нет

А логи с другой системы бесполезны. Если сможете собрать логи на заражённой системе, попробуем её почистить. Но и только.

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2023-02-23] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Windows Session Manager.exe.[PayDecryption@gmail.com][FAC615D6].pay [2023-02-23] () [Файл не подписан]
    Startup: C:\Users\SQLTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2023-02-23] () [Файл не подписан]
    Startup: C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2023-02-23] () [Файл не подписан]
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Downloads\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Documents\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Desktop\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\LocalLow\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Local\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Downloads\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Documents\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Desktop\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Roaming\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\LocalLow\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Local\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Downloads\Decrypt-info.txt
    2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Decrypt-info.txt
    2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Documents\Decrypt-info.txt
    2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Desktop\Decrypt-info.txt
    2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
    2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Decrypt-info.txt
    2023-02-23 20:36 - 2023-02-23 20:38 - 000000908 _____ C:\ProgramData\Decrypt-info.txt
    2023-02-23 20:36 - 2023-02-23 20:36 - 000000908 _____ C:\Program Files (x86)\Decrypt-info.txt
    2023-02-23 20:35 - 2023-02-23 20:37 - 000000908 _____ C:\Users\Decrypt-info.txt
    2023-02-23 20:35 - 2023-02-23 20:35 - 000000908 _____ C:\Program Files\Decrypt-info.txt
    2023-02-23 20:35 - 2023-02-23 20:35 - 000000908 _____ C:\Program Files\Common Files\Decrypt-info.txt
    2023-02-23 19:44 - 2023-02-23 19:44 - 000002188 _____ C:\ProgramData\prvkey1.txt.key
    2023-02-23 19:44 - 2023-02-23 19:44 - 000000398 ___SH C:\ProgramData\pkey.txt
    2023-02-23 19:44 - 2023-02-23 19:44 - 000000008 ___SH C:\ProgramData\IDk.txt
    2023-02-23 19:44 - 2023-02-23 19:44 - 000000001 ___SH C:\ProgramData\prvkey1.txt
    C:\Users\Администратор.WIN-DFG6CAA4RJK\Desktop\CTF Loader.exe
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Если планируете сохранить зашифрованные файлы в надежде на появление дешифровки в будущем, сохраните также и папку C:\FRST

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Reshat
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
    • Михаил79
      Автор Михаил79
      Здравствуйте. Зашифровали рабочий компьютер с 1с
      Addition.txt arhiv.rar FRST.txt
    • Technician6
      Автор Technician6
      Имеем корп сервер KSC14 - компьютеры видны, но в управляемых, когда переносишь их в нужную группу, они просто не переносятся и вываливается ошибка как на скрине.

       
      ни через веб интерфейс ни через консоль не переносится. Вопрос, как исправить?
    • rcbsbss
      Автор rcbsbss
      Сегодня были зашифрованы сервера и компьютеры входящие в домен. В результате при включении компьютера появляется сообщение "Обратитесь в телеграмм...". Пользователь телеграмм @dchelp. Был установлен антивирус Касперского с новыми базами, он пропустил. Сервер Касперского также был заражен. Просим помочь!!!
×
×
  • Создать...