Перейти к содержанию

Требуется помощь в восстановлении после атаки SHTORM [deep_77@tutanota.com]


Рекомендуемые сообщения

Добрый день!

Вчера взломали комп с RDP... Надеялся, что проброс портов спасет от пакости, оказалось что нет.

Вот такая картинка была, все файлы с расширением .id[тут их номер-3352].[deep_77@tutanota.com]

Возможно ли восстановить систему и файлы? Что нужно и какие условия?

222Twary.jpg

Ссылка на сообщение
Поделиться на другие сайты

Так там же написано:

1. Инструкции, подготовленные Консультантами, пишутся индивидуально для каждого пользователя.

 

Я эти инструкции и попросил. Это для вас просто, для меня все как в первый раз...

 

Вот прогнал KVRT, нашли какие-то вирусы. Удалили.

Сейчас запустил Farbar, что-то он там крутит, читает... Но какие я должен зашифрованные документы подготовить мне не понятно... И где и каким архивом мне нужно вирус заархивировать и куда-то выложить я тоже не пойму (:-

Farbar закончил. Пишет что файл FRST.txt в той же папке, где FRST (?)... Тут же открылся afqk addition.txt ... с ним что делать?

Ссылка на сообщение
Поделиться на другие сайты

Речь идёт о 2-3 небольших зашифрованных документах и записке с требованием выкупа. Упакуйте их в архив и прикрепите к следующему сообщению.

Логи Farbar тоже нужны.

А про сам вирус есть оговорка - "если его удалось найти". Пока не нужно.

Ссылка на сообщение
Поделиться на другие сайты

А где эту записку про выкуп найти? Этот их файл я закрыл только скрин сделал...

 

Да, сейчас глянул FRST директорию, все файлы с таким же "пиратским" расширением SHTORM как и все остальные. 

FRST.rar

Ссылка на сообщение
Поделиться на другие сайты

Похоже вымогатель активен. Пролечите систему с помощью KRD.

Создавать диск или флешку нужно на другом, здоровом компьютере.

 

9 минут назад, GreenStamp сказал:

Этот их файл я закрыл

Вот сам файл и нужен. Скорее всего с расширением hta.

 

Вероятнее всего тип вымогателя - Phobos. Расшифровки нет, к сожалению.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

вымогатель активен. Пролечите систему с помощью KRD.

Пройдите по ссылке. Будут вопросы - задавайте.

Ссылка на сообщение
Поделиться на другие сайты
14 часов назад, Sandor сказал:

Пройдите по ссылке. Будут вопросы - задавайте.

KRD дважды все проверил, вирусов нет, подозрительных объектов нет.

Что делать дальше?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Антон1985
      От Антон1985
      Доброго времени суток! Словили через RDP вирус шифровальщик. Если есть возможность помогите с расшифровкой. 
      Спасибо.
      Addition.txt files.rar FRST.txt virus.rar
    • Платон
      От Платон
      Здравствуйте. Прошу помощи или совета.
      Схватил шифровальщик. При загрузке с диска вижу сообщение с требованием выкупа.
      Подключил диск к другому компьютеру. Все диски, кроме того, что зарезервирован системой, в формате RAW.
      На ошибки не проверял. Пытался сканировать для восстановления файлов R-Studio итд. Результата нет.
      Связался с вымогателями. Сумма баснословная. Утверждают, что вышлют пароль и восстановят файловую систему.
      Верю с трудом.
      Может вы подскажете, как сдампить эту малварь и выслать вам на анализ?
      В каком файле она может находится для загрузки? BCD?
      Быть может вы сталкивались с подобным. Если нужна какая-то информация. Соберу и вышлю. Стандартные шаги не помогут, так как с диска не загружусь и файлов не вижу. Думаю можно отталкиваться только от той дряни, что в загрузчике.
      Искренне надеюсь на ваш совет. Спасибо и с наступающим.
      И да. Вспомнил. В письме от них было указано, что зашифровано неким Disk Cryptor.
    • veta_los
      От veta_los
      Добрый день. 
       
      В четверг отдал ребёнку комп, в субботу уже шифровальщик. Есть версия, что пролез через её игру Roblox, но не факт. Файл-вирус не искал, сразу систему вырубил. Буду делать всё по инструкции. Файлы и лог от Farbar Recovery Scan Tool прилагаю (запускал утилиту из среды восстановления).
       
       
      FRST.txt Files.rar
    • broken
      От broken
      Здравствуйте, зашифрованы файлы spade, нужно расшифровать,помогите 
      https://yadi.sk/d/KbkNREVK3JDJig   
×
×
  • Создать...