Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

Найден шифровальщик 

зашифровал файлы под именем .id[D80C2187-3352].[captain-america@tuta.io].deep

Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.

Нужна помощь! 

Доступ АТС.txt.id[D80C2187-3352].[captain-america@tuta.io].zip

FRST.zip

Ссылка на сообщение
Поделиться на другие сайты

Шифровальщик активен.

 

Файлы с сообщениями от вымогателей

Цитата

C:\info.hta
C:\info.txt

прикрепите в архиве к следующему сообщению.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [svchost] => C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe [57344 2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
File: C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe
File: D:\сертификат\svchost.exe
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-954303354-74777796-1033967165-1000\...\Run: [CCleaner Monitoring] => "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR (Нет файла)
HKU\S-1-5-21-954303354-74777796-1033967165-1009\...\Run: [svchost] => C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe [57344 2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Ivan.Gridasov.Adm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты
29 минут назад, thyrex сказал:

Шифровальщик активен.

 

Файлы с сообщениями от вымогателей

прикрепите в архиве к следующему сообщению.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)


Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [svchost] => C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe [57344 2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
File: C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe
File: D:\сертификат\svchost.exe
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-954303354-74777796-1033967165-1000\...\Run: [CCleaner Monitoring] => "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR (Нет файла)
HKU\S-1-5-21-954303354-74777796-1033967165-1009\...\Run: [svchost] => C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe [57344 2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Ivan.Gridasov.Adm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2023-08-22] () [Файл не подписан] <==== ВНИМАНИЕ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 


 

Диски уже отцепил - просто лежат вдруг удастся расшифровать, и установил ОС на новые диски.

 

HTA.zip

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, ches66 сказал:

Диски уже отцепил - просто лежат вдруг удастся расшифровать

Проверили бы тогда сами C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe на https://virustotal.com

Ссылка на сообщение
Поделиться на другие сайты
13 минут назад, thyrex сказал:

Проверили бы тогда сами C:\Users\Ivan.Gridasov.Adm\AppData\Local\svchost.exe на https://virustotal.com

https://www.virustotal.com/gui/file/e5b61af0243cd765eeb5b35b87b54685cc315abecc7662c3326712ad08e92e93?nocache=1

Стоит ли надеяться что файлы возможно расшифровать или уже все ?

Изменено пользователем ches66
Ссылка на сообщение
Поделиться на другие сайты

Написали в личку с форума вот этот тип https://forum.kasperskyclub.ru/profile/67857-leo_samara/ 

Следующее сообщение Добрый, попробуйте написать   https://t.me/data_kos , поможет с дешифровкой .

Я написал этому контакту в телеграмм.

Меня попросили прислать зашифрованные файлы я скинул парочку. Мне прислали видео с их дешифровкой и сами дешифрованные файлы и готовый якобы скрипт в архиве запароленном. Дальше попросили 50к за услугу дешифровки базы данных:

"Стоимость нашей услуги 50 тыс рублей понимаю вашу обеспокоенность, ситуация ужасная с шифровкой. Можно как на зараженной машине, так и на новой ОС Для вашей безопасности, мы предлагаем подключиться к Вам через Ammy Admin / Anydesk , то есть мы будем видеть ваш рабочий стол и поможем с восстановлением Либо, даем инструкцию,пароль и вы самостоятельно можете восстановить для дешифровки достаточно 2х ядрес ЦПУ, процесс шифровки встроенныеми библиотеккми системы проходит, только указывается индивидуальный ключ"

Сторговались на 35к рублей.

Дальше попросил их тестово подключится по anydesk , они подключились.

После этого произвел оплату в биткоинах по указанному кошельку.

Ну и все тишина уже три часа.

 

Если эти твари это читают, пришлите ключ дешифрования!!!

 

НЕ ДОВЕРЯЙТЕ никому в личных сообщениях!!!

 

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • bygi13
      От bygi13
      Вирус шифровальщик
    • Timur1
      От Timur1
      Всем привет!

      Несколько недель назад шифровальщик (.OOH) зашифровал все файлы, которые находились в Общей папке. Еще раз только общая папка была подвержена атаке. 
      На каждом файле есть такая надпись "id[289E1C38-3308].[gdecryptor5@onionmail.org].OOH".
       
      Перепробовали все бесплатные ransomware утилиты от Касперского, Аваста и тд. Не помогло. Антивирусы не находят ничего.
       
      Что я могу еще попробовать?
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов".
    • kuznetcov_inbox.ru
      От kuznetcov_inbox.ru
      Кто может помочь .id[AAF40735-3349].[johnhelper123@gmx.de].decrypt
    • phant
      От phant
      Добрый день!
      Сегодня ночью был зашифрован компьютер и все сетевые папки. 
      Файлы логов прилагаю.
      x-decrypt@worker.com.rar FRST.rar Addition.rar
    • juryvv
      От juryvv
      Помогите справиться. В сообщении следующее. Спасибо.
       
      All your files have been encrypted!
      All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail ware_house@tuta.io
      Write this ID in the title of your message 249B9E74-3351
      If you do not receive a response within 24 hours, please contact us by Telegram.org account: @Stop_24
      You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files. 
      Free decryption as guarantee
      Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
      How to obtain Bitcoins
      The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
      https://localbitcoins.com/buy_bitcoins
      Also you can find other places to buy Bitcoins and beginners guide here: 
      http://www.coindesk.com/information/how-can-i-buy-bitcoins/
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software, it may cause permanent data loss. 
      Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 
       
×
×
  • Создать...