medusalocker Зашифровали все файлы (Support.team@onionmail.org, Backup.team@cyberfear.com)

[zoic]

Добрый день! 

можно ли что-то сделать? 

 

Добралась до моего рабочего компьютера какая-то "гадость".

Зашифровала все файлы.

Написал на указанные адреса, пришел ответ ниже на англ. Прибыльный у них бизнес...)

Система запускается, но все рабочие файлы и программы "похерены" (((( 

 

Hello,
The price for the recovery of your files is (2500 $).
the payment should be make in BTC

2500 $ includes the following items:

1) you will receive the decryption tool and its usage guide,
2) we will delete all the data we have downloaded from your system,
3) We will teach you how to secure your system from other ransomware attack,
4) We will teach your system vulnerabilities tn order to fix them.
 
your decryption key is ready.

If the ransom is not paid, the information will be made public on internet.

 

FRST64_логи.zip требования+файлы.zip

[Sandor]

Здравствуйте!

 

Файл

Цитата

C:\Users\Admine$\Desktop\twst.exe

вам известен?

Если нет, загрузите его на www.virustotal.com и дайте ссылку на результат проверки.

 

С момента заражения систему какими-либо антивирусными утилитами лечили?

[zoic]

Добрый день! 
 

Не известен.
Вчера запускал DrWeb cureIt в надежде определить тип вируса, но он нашел только активатор AAct. 
 

по этому пути пусто C:\Users\Admine$\Desktop\twst.exe 

только twst.ini

[Sandor]

Прикрепите этот файл (можно в архиве) к следующему сообщению.

 

Пока пробуем определить тип вымогателя закроем порты:

• Выделите следующий код:

• Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  FirewallRules: [{BFB18FF4-DC89-49CD-A199-F05482B94FB6}] => (Allow) LPort=1433
  FirewallRules: [{75B40BCE-A827-4E00-8401-7B7B77C10DDC}] => (Allow) LPort=1433
  FirewallRules: [{0D4C775D-2D1E-4F31-AFAE-90ADB3833840}] => (Allow) LPort=25
  FirewallRules: [{B322BBEC-343B-47D8-A9EF-34612D1FBF91}] => (Allow) LPort=110
  FirewallRules: [{A6F168C8-4310-4FF6-848B-619227B7DA35}] => (Allow) LPort=3389
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[zoic]

сделал

Fixlog.txt twst.zip

[Sandor]

Спасибо, некоторое время подождите.

Не буду обнадёживать, скорее всего расшифровки нет. Но хотя бы определим тип вымогателя.

[Sandor]

Обрадовать не чем. Это предположительно MedusaLocker Ransomware или что-то на его основе.

Расшифровки нет.

[zoic]

Понял, печально 🤧

Благодарю за попытку!