Перейти к содержанию

Требуется помощь в восстановлении после атаки SHTORM [deep_77@tutanota.com]


Рекомендуемые сообщения

Добрый день!

Вчера взломали комп с RDP... Надеялся, что проброс портов спасет от пакости, оказалось что нет.

Вот такая картинка была, все файлы с расширением .id[тут их номер-3352].[deep_77@tutanota.com]

Возможно ли восстановить систему и файлы? Что нужно и какие условия?

222Twary.jpg

Ссылка на сообщение
Поделиться на другие сайты

Так там же написано:

1. Инструкции, подготовленные Консультантами, пишутся индивидуально для каждого пользователя.

 

Я эти инструкции и попросил. Это для вас просто, для меня все как в первый раз...

 

Вот прогнал KVRT, нашли какие-то вирусы. Удалили.

Сейчас запустил Farbar, что-то он там крутит, читает... Но какие я должен зашифрованные документы подготовить мне не понятно... И где и каким архивом мне нужно вирус заархивировать и куда-то выложить я тоже не пойму (:-

Farbar закончил. Пишет что файл FRST.txt в той же папке, где FRST (?)... Тут же открылся afqk addition.txt ... с ним что делать?

Ссылка на сообщение
Поделиться на другие сайты

Речь идёт о 2-3 небольших зашифрованных документах и записке с требованием выкупа. Упакуйте их в архив и прикрепите к следующему сообщению.

Логи Farbar тоже нужны.

А про сам вирус есть оговорка - "если его удалось найти". Пока не нужно.

Ссылка на сообщение
Поделиться на другие сайты

А где эту записку про выкуп найти? Этот их файл я закрыл только скрин сделал...

 

Да, сейчас глянул FRST директорию, все файлы с таким же "пиратским" расширением SHTORM как и все остальные. 

FRST.rar

Ссылка на сообщение
Поделиться на другие сайты

Похоже вымогатель активен. Пролечите систему с помощью KRD.

Создавать диск или флешку нужно на другом, здоровом компьютере.

 

9 минут назад, GreenStamp сказал:

Этот их файл я закрыл

Вот сам файл и нужен. Скорее всего с расширением hta.

 

Вероятнее всего тип вымогателя - Phobos. Расшифровки нет, к сожалению.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

вымогатель активен. Пролечите систему с помощью KRD.

Пройдите по ссылке. Будут вопросы - задавайте.

Ссылка на сообщение
Поделиться на другие сайты
14 часов назад, Sandor сказал:

Пройдите по ссылке. Будут вопросы - задавайте.

KRD дважды все проверил, вирусов нет, подозрительных объектов нет.

Что делать дальше?

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • juryvv
      От juryvv
      Помогите справиться. В сообщении следующее. Спасибо.
       
      All your files have been encrypted!
      All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail ware_house@tuta.io
      Write this ID in the title of your message 249B9E74-3351
      If you do not receive a response within 24 hours, please contact us by Telegram.org account: @Stop_24
      You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files. 
      Free decryption as guarantee
      Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
      How to obtain Bitcoins
      The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
      https://localbitcoins.com/buy_bitcoins
      Also you can find other places to buy Bitcoins and beginners guide here: 
      http://www.coindesk.com/information/how-can-i-buy-bitcoins/
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software, it may cause permanent data loss. 
      Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 
       
    • Антон1985
      От Антон1985
      Доброго времени суток! Словили через RDP вирус шифровальщик. Если есть возможность помогите с расшифровкой. 
      Спасибо.
      Addition.txt files.rar FRST.txt virus.rar
    • Платон
      От Платон
      Здравствуйте. Прошу помощи или совета.
      Схватил шифровальщик. При загрузке с диска вижу сообщение с требованием выкупа.
      Подключил диск к другому компьютеру. Все диски, кроме того, что зарезервирован системой, в формате RAW.
      На ошибки не проверял. Пытался сканировать для восстановления файлов R-Studio итд. Результата нет.
      Связался с вымогателями. Сумма баснословная. Утверждают, что вышлют пароль и восстановят файловую систему.
      Верю с трудом.
      Может вы подскажете, как сдампить эту малварь и выслать вам на анализ?
      В каком файле она может находится для загрузки? BCD?
      Быть может вы сталкивались с подобным. Если нужна какая-то информация. Соберу и вышлю. Стандартные шаги не помогут, так как с диска не загружусь и файлов не вижу. Думаю можно отталкиваться только от той дряни, что в загрузчике.
      Искренне надеюсь на ваш совет. Спасибо и с наступающим.
      И да. Вспомнил. В письме от них было указано, что зашифровано неким Disk Cryptor.
    • veta_los
      От veta_los
      Добрый день. 
       
      В четверг отдал ребёнку комп, в субботу уже шифровальщик. Есть версия, что пролез через её игру Roblox, но не факт. Файл-вирус не искал, сразу систему вырубил. Буду делать всё по инструкции. Файлы и лог от Farbar Recovery Scan Tool прилагаю (запускал утилиту из среды восстановления).
       
       
      FRST.txt Files.rar
    • broken
      От broken
      Здравствуйте, зашифрованы файлы spade, нужно расшифровать,помогите 
      https://yadi.sk/d/KbkNREVK3JDJig   
×
×
  • Создать...