Перейти к содержанию

Компьютер зашифрован PayDecryption@gmail.com[FAC615D6].PAY

DRAM
 Share Подписчики 1

Рекомендуемые сообщения

DRAM

DRAM 0

Опубликовано
Опубликовано

Здравствуйте. Ночью был зашифрован компьютер .  На другой винчестер была установлена новая Win10 и с неё загружена программа drweb cureit которая нашла Trojan.encoder.34144 "Windows Session Manager.exe" и удалила его.

2 зашифрованных файла и требования

отчёт FRST

Извините не нашёл как к письму прикрепить файлы

оригинальная операционная система загружается, но там всё заблокировано

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 134

Опубликовано
Опубликовано

Здравствуйте!

 

24.02.2023 в 14:14, DRAM сказал:

Извините не нашёл как к письму прикрепить файлы

271560552_Screenshot2023-02-26124122.png.db098ff5247e6d099801a43eb883150a.png

 

Похоже на VoidCrypt, расшифровки нет.

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 134

Опубликовано
Опубликовано

Повторю:

23 часа назад, Sandor сказал:

расшифровки нет

А логи с другой системы бесполезны. Если сможете собрать логи на заражённой системе, попробуем её почистить. Но и только.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 134

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2023-02-23] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Windows Session Manager.exe.[PayDecryption@gmail.com][FAC615D6].pay [2023-02-23] () [Файл не подписан]
Startup: C:\Users\SQLTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2023-02-23] () [Файл не подписан]
Startup: C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decrypt-info.txt [2023-02-23] () [Файл не подписан]
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Downloads\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Documents\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Desktop\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Roaming\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\LocalLow\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Local\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Администратор.WIN-DFG6CAA4RJK\AppData\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Downloads\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Documents\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Desktop\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Roaming\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\LocalLow\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Local\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\SQLTELEMETRY\AppData\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Downloads\Decrypt-info.txt
2023-02-23 20:38 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Decrypt-info.txt
2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Documents\Decrypt-info.txt
2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\Users\Public\Desktop\Decrypt-info.txt
2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Decrypt-info.txt
2023-02-23 20:37 - 2023-02-23 20:38 - 000000908 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Decrypt-info.txt
2023-02-23 20:36 - 2023-02-23 20:38 - 000000908 _____ C:\ProgramData\Decrypt-info.txt
2023-02-23 20:36 - 2023-02-23 20:36 - 000000908 _____ C:\Program Files (x86)\Decrypt-info.txt
2023-02-23 20:35 - 2023-02-23 20:37 - 000000908 _____ C:\Users\Decrypt-info.txt
2023-02-23 20:35 - 2023-02-23 20:35 - 000000908 _____ C:\Program Files\Decrypt-info.txt
2023-02-23 20:35 - 2023-02-23 20:35 - 000000908 _____ C:\Program Files\Common Files\Decrypt-info.txt
2023-02-23 19:44 - 2023-02-23 19:44 - 000002188 _____ C:\ProgramData\prvkey1.txt.key
2023-02-23 19:44 - 2023-02-23 19:44 - 000000398 ___SH C:\ProgramData\pkey.txt
2023-02-23 19:44 - 2023-02-23 19:44 - 000000008 ___SH C:\ProgramData\IDk.txt
2023-02-23 19:44 - 2023-02-23 19:44 - 000000001 ___SH C:\ProgramData\prvkey1.txt
C:\Users\Администратор.WIN-DFG6CAA4RJK\Desktop\CTF Loader.exe
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Если планируете сохранить зашифрованные файлы в надежде на появление дешифровки в будущем, сохраните также и папку C:\FRST

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • mr.dwz
      Шифровальщик (encoderdecryption@gmail.com).RYKCRYPT
      От mr.dwz
      Добрый день! Шифровальщик зашифровал файлы на компьютере, в том числе и рабочие базы данных от ПО и 1С.
      Расширение у зашифрованных файлов (encoderdecryption@gmail.com).RYKCRYPT
       
      В автозагрузке находится encoderdecryption@gmail.com.exe
       
      Также в ProgramData созданы файлы IDk.txt, pkey.txt, RSAKEY.key
       
      Приложил логи FRST,
      В архиве rykcrypt_files лежат зашифрованные файлы, а также текстовые файлы из ProgramData(Idk.txt, pket.txt, RSAKEY.key)
      В архиве encoderdecryption@gmail.com.zip, лежит exe файл из автозагрузки (пароль virus)
       
      FRST.txt Addition.txt rykcrypt_files.zip encoderdecryption@gmail.com.zip
    • The_Immortal
      Зашифрованные файлы
      От The_Immortal
      Приветствую!
       
      Пару дней назад получили шифрование. Можно ли что-то с этим сделать? И как активный и актуальный KES мог такое пропустить?
       
      Спасибо!
      Addition.txt FRST.txt info+.zip
    • vit akimov
      зашифрованы файлы [CW-PA0687294351](spystar1@onionmail.com) в формате rar
      От vit akimov
      Здравствуйте 
      при перезагрузке компа вывалились все приложения переименовались ярлыки в [CW-PA0687294351](spystar1@onionmail.com)  в формате rar 
      как в правилах написано прилагаю архив с двумя файлами зашифрованными и пароль на архив virus
      так же прилагаю логи из программы  farbar recovery scan tool
      Addition.txt FRST.txt [CW-PA0687294351](spystar1@onionmail.com) в формате rar.rar
    • LostGod
      Шифровальщик youhau@onionmail.org *.youhau
      От LostGod
      Приветствую.
      Сегодня ночью отработал шифровальщик. Соответственно все базы шифрованы. 
      Будьте добры посмотрите и скажите есть надежда или нет. 
      Благодарю.
       
      youhau@onionmail.org.7z Addition.txt FRST.txt
    • transdemail
      Файлы зашифрованы Trojan.Encoder.29750
      От transdemail
      Приветствую! Шансов мало, но друг?
      FRST.txt kav.zip
      Addition.txt Shortcut.txt
×
×
  • Создать...