Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день! 

можно ли что-то сделать? 

 

Добралась до моего рабочего компьютера какая-то "гадость".

Зашифровала все файлы.

Написал на указанные адреса, пришел ответ ниже на англ. Прибыльный у них бизнес...)

Система запускается, но все рабочие файлы и программы "похерены" (((( 

 

Hello,
The price for the recovery of your files is (2500 $).
the payment should be make in BTC

2500 $ includes the following items:

1) you will receive the decryption tool and its usage guide,
2) we will delete all the data we have downloaded from your system,
3) We will teach you how to secure your system from other ransomware attack,
4) We will teach your system vulnerabilities tn order to fix them.
 
your decryption key is ready.

If the ransom is not paid, the information will be made public on internet.

 

FRST64_логи.zip требования+файлы.zip

Опубликовано

Здравствуйте!

 

Файл

Цитата

C:\Users\Admine$\Desktop\twst.exe

вам известен?

Если нет, загрузите его на www.virustotal.com и дайте ссылку на результат проверки.

 

С момента заражения систему какими-либо антивирусными утилитами лечили?

Опубликовано

Добрый день! 
 

Не известен.
Вчера запускал DrWeb cureIt в надежде определить тип вируса, но он нашел только активатор AAct. 
 

по этому пути пусто C:\Users\Admine$\Desktop\twst.exe 

только twst.ini

Опубликовано

Прикрепите этот файл (можно в архиве) к следующему сообщению.

 

Пока пробуем определить тип вымогателя закроем порты:

  • Выделите следующий код:
  • Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    FirewallRules: [{BFB18FF4-DC89-49CD-A199-F05482B94FB6}] => (Allow) LPort=1433
    FirewallRules: [{75B40BCE-A827-4E00-8401-7B7B77C10DDC}] => (Allow) LPort=1433
    FirewallRules: [{0D4C775D-2D1E-4F31-AFAE-90ADB3833840}] => (Allow) LPort=25
    FirewallRules: [{B322BBEC-343B-47D8-A9EF-34612D1FBF91}] => (Allow) LPort=110
    FirewallRules: [{A6F168C8-4310-4FF6-848B-619227B7DA35}] => (Allow) LPort=3389
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Опубликовано

Спасибо, некоторое время подождите.

Не буду обнадёживать, скорее всего расшифровки нет. Но хотя бы определим тип вымогателя.

Опубликовано

Обрадовать не чем. Это предположительно MedusaLocker Ransomware или что-то на его основе.

Расшифровки нет.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Антон_63ru
      Автор Антон_63ru
      Зашифрованы файлы в сетевых файлах на  файлообменнике,  на нем два сетевых интерфейса смотрят в разные локальные сетки..
      в той сетке куда имею доступ "нулевого пациента" нет . Коллеги уверяют, что у них тоже все ок..(
      на самом файлообменнике в нерасшаренных папках файлы WORD и EXCEL не зашифрованы
      Addition.txt crypted_file.7z FRST.txt
    • compsoft45
      Автор compsoft45
      Нужна помощь по расшифровке.
      Вирус с паролем 123
      образцы
    • DobryiKot
      Автор DobryiKot
      Здравствуйте. Скорее всего путем взлома RDP соединения Windows словил вирус, который зашифровал файлы как [Ex2@onionmail.org].Slide. В папках с зашифрованными файлами - текстовый файл с требованиями и Id. Возможна ли дешифровка таких файлов?
      зашифрованые файлы.rar
    • rey2000
      Автор rey2000
      Залезли в RDP и зашифровали все файлы
      в таком формате "Чертеж снежинки  dnl1914.zip.NeonGPT@Cyberfear.com.WS59T2DLL0ZY.NeonGPT"
       
      Contact information :
      Mail 1 : NeonGPT@Cyberfear.com
      Telegram: https://t.me/Neon_GPT
      UniqueID: WS59T2DLL0ZY
      PublicKey: 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
       
      Addition.txt FRST.txt Readme.txt
    • R3DSTALK3R
      Автор R3DSTALK3R
      Наш компьютер, где был установлен сервер 1C, заразился вирусом шифровальщиком-вымогателем. Первое что сделал вирус – сменил пароль для учётной записи администратора. Так же он зашифровал все файлы ключом ThnzSOMKAAKZ7v7OV4MX-cwAzeoX0aWrzJmrPnXwamk*datastore@cyberfear.com-ThnzSOMKAAKZ7v7OV4MX-cwAzeoX0aWrzJmrPnXwamk (как сказано в послании от вымогателя), которые больше 8,5 мб.
      Очень надеемся, что сможете помочь решить нашу проблему.
      https://dropmefiles.com/DUXr9 ссылка на шифрованные файлы
      Addition.txt Shortcut.txt FRST.txt README.txt
×
×
  • Создать...