Перейти к содержанию

Зашифровали все файлы (Support.team@onionmail.org, Backup.team@cyberfear.com)

zoic
 Поделиться

Рекомендуемые сообщения

zoic

zoic

Опубликовано
Опубликовано

Добрый день! 

можно ли что-то сделать? 

 

Добралась до моего рабочего компьютера какая-то "гадость".

Зашифровала все файлы.

Написал на указанные адреса, пришел ответ ниже на англ. Прибыльный у них бизнес...)

Система запускается, но все рабочие файлы и программы "похерены" (((( 

 

Hello,
The price for the recovery of your files is (2500 $).
the payment should be make in BTC

2500 $ includes the following items:

1) you will receive the decryption tool and its usage guide,
2) we will delete all the data we have downloaded from your system,
3) We will teach you how to secure your system from other ransomware attack,
4) We will teach your system vulnerabilities tn order to fix them.
 
your decryption key is ready.

If the ransom is not paid, the information will be made public on internet.

 

FRST64_логи.zip требования+файлы.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Файл

Цитата

C:\Users\Admine$\Desktop\twst.exe

вам известен?

Если нет, загрузите его на www.virustotal.com и дайте ссылку на результат проверки.

 

С момента заражения систему какими-либо антивирусными утилитами лечили?

zoic

zoic

Опубликовано
  • Автор
Опубликовано

Добрый день! 
 

Не известен.
Вчера запускал DrWeb cureIt в надежде определить тип вируса, но он нашел только активатор AAct. 
 

по этому пути пусто C:\Users\Admine$\Desktop\twst.exe 

только twst.ini

Sandor

Sandor

Опубликовано
Опубликовано

Прикрепите этот файл (можно в архиве) к следующему сообщению.

 

Пока пробуем определить тип вымогателя закроем порты:

  • Выделите следующий код: 
  • Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
FirewallRules: [{BFB18FF4-DC89-49CD-A199-F05482B94FB6}] => (Allow) LPort=1433
FirewallRules: [{75B40BCE-A827-4E00-8401-7B7B77C10DDC}] => (Allow) LPort=1433
FirewallRules: [{0D4C775D-2D1E-4F31-AFAE-90ADB3833840}] => (Allow) LPort=25
FirewallRules: [{B322BBEC-343B-47D8-A9EF-34612D1FBF91}] => (Allow) LPort=110
FirewallRules: [{A6F168C8-4310-4FF6-848B-619227B7DA35}] => (Allow) LPort=3389
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Спасибо, некоторое время подождите.

Не буду обнадёживать, скорее всего расшифровки нет. Но хотя бы определим тип вымогателя.

Sandor

Sandor

Опубликовано
Опубликовано

Обрадовать не чем. Это предположительно MedusaLocker Ransomware или что-то на его основе.

Расшифровки нет.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • clobase
      trojan.packed2.45303 vulkaninfo
      Автор clobase
      Др веб нашел троян в файлах vulkaninfo, но при попытки лечения выдает ошибку.
    • Otola
      Vulkan
      Автор Otola
      Аналогично сегодня ругается на вулкан. И не лечит его, и не перемещает.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Secret21
      Vulkaninfo.exe
      Автор Secret21
      Здравствуйте. Решил сделать плановую проверку пк через утилику dr web curelt и вот что он мне нашел, прочитав о подобном в интернете я нашел информацию что это могут быть ложные срабатывания.
      Использовал последнюю версию на момент 7 февраля.
      P.S после обновления драйвера nvidia этих "троянов" стало 8 вместо прошлых 6.

       
      CollectionLog-2026.02.07-04.56.zip
×
×
  • Создать...