Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Утром при входе обнаружилось, что файлы зашифрованы, имеется письмо с требованием денег.

В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml - запушены утром пользователями, которые точно не могли это сделать.

От интернета отключил. Если не отключать, то примерно раз в 10 минут пользователя выкидывает и при этом с флешки удаляются все файлы и на нее помещается копия письма с требованием денег.
CureIt и KVRT нашли только RDPWrap.

CollectionLog-2023.10.27-13.29.zip

Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    Startup: C:\Users\100v-profil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2023-01-11] () [Файл не подписан]
    Startup: C:\Users\102v-profil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2023-01-11] () [Файл не подписан]
    Startup: C:\Users\103v-profil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2023-01-11] () [Файл не подписан]
    Startup: C:\Users\136v-profil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2023-01-11] () [Файл не подписан]
    Startup: C:\Users\236v-profil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2023-01-11] () [Файл не подписан]
    Startup: C:\Users\36v-profil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2023-01-11] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2023-01-11] () [Файл не подписан]
    Startup: C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2023-01-11] () [Файл не подписан]
    Startup: C:\Users\Логист\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2023-01-11] () [Файл не подписан]
    Startup: C:\Users\Марина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2023-01-11] () [Файл не подписан]
    Startup: C:\Users\Оля К\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2023-01-11] () [Файл не подписан]
    Startup: C:\Users\Помощник\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2023-01-11] () [Файл не подписан]
    Startup: C:\Users\Сервер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk.yty [2023-09-14]
    Startup: C:\Users\Сервер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2023-01-11] () [Файл не подписан]
    Startup: C:\Users\Склад\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2023-01-11] () [Файл не подписан]
    Startup: C:\Users\Тест\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2023-01-11] () [Файл не подписан]
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    2023-10-27 08:53 - 2023-01-11 20:46 - 000000383 _____ C:\Users\usr\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    FirewallRules: [{31FFA08F-D36C-4842-96AC-AC341A9CFE1E}] => (Allow) LPort=3389
    FirewallRules: [{0467AC58-4229-4BE4-9E7A-0E5DACC5B0F4}] => (Allow) LPort=475
    FirewallRules: [{C09D523B-8E8D-43B1-917B-529CCC5D1F28}] => (Allow) LPort=475
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Вам поможет этот дешифратор.

Ключ отправляю личным сообщением. Его поместите в ту же папку, куда скачаете дешифратор.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Сергей Михайловский
      Автор Сергей Михайловский
      Такая вот проблемма, ко мне в компьютер попал какой то шифровщик, через время все файлы формата тхт, doc. jpeg. jpj. avi вообщем все на которых могла быть какая то информация не открывались, изменился на всех файлах формат на A7V3ac, и возле каждого файла появился такой вот документ текстовый;
      "Внимание! Все Ваши файлы зашифрованы!
      Чтобы восстановить свои файлы посетите сайт http://plc.2fh.coЕсли сайт недоступен пишите на plc12@inbox.com Ваш id d7135649 У вас есть 6 попыток ввода кода. При превышении этого  лимита все данные необратимо испортятся." Никакой антивирус не берет эту хрень пользовался какими то дешифраторами, но они только копий понаделывали которые так же не открываются. Прошу помочь, буду благодарен. CollectionLog-2015.10.01-13.30.zip
    • Дмитрий Кашуба
      Автор Дмитрий Кашуба
      Зашифровались файлы и добавилось расширение sfl776
       
      Прошу помочь, если кто может )
       
      Лог прилагаю. 
       
      Ссылка на зашифрованные файлы: https://yadi.sk/d/LUbJxhFYjPH6n
       
      Благодарю!
      CollectionLog-2015.09.28-22.29.zip
    • Ultimuver
      Автор Ultimuver
      Здравствуйте! У коллеги вирус зашифровал большой объем информации на переносном жестком диске, а внутренний она уже успела отформатировать. Посоветуйте что теперь с этим делать? Для анализа имеется зашифрованные файлы, оригинал одного из зашифрованных файлов, текстовое сообщение вымогателей и архивный фаил, с которого по словам человека все началось.
       
      Зашифрованный фаил в формате mp3
      Оригинальный фаил в формате mp3
      Текстовый фаил созданный вирусом
       
      Личный анализ показал, что данный вирус(шифратор) довольно хитро устроен. Он шифрует лишь половину файла, а остальную часть оставляет не измененной. zip и rar архивы открываются, но информация в них повреждена! Вот один из примеров:
       
      Зашифрованный архивный фаил
       
      Заранее благодарю!
       

      Строгое предупреждение от модератора Mark D. Pearlstone Вредоносные файлы на форум прикреплять не нужно. Ссылка удалена.
    • Артемий Гареев
      Автор Артемий Гареев
      Лог AutoLogger + зараженные файлы https://dropmefiles.com/qf4mR пароль wRdxOg

      Farbar Recovery Scan Tool
      CollectionLog-2015.09.22-23.07.zip
      Addition.txt
      FRST.txt
    • АртемВ
      Автор АртемВ
      Доброго времени суток. Прошу помощи....
       
      У меня точно же такая ситуация.... принесли ноут (родственники), на диске D все файлы с расширением txt, doc, rtf, zip, rar, pdf, pps, jpg, bmp, gif, htm, wav, mp3..... зашифрованы с расширением  .7Kf9uY, в каждой папочке текстовый файл с содержанием:
       
      Увидев переписку в данной теме, появилась надежда на восстановление... Поделитесь утилитой.
      Парочку зашифрованных файлов прилагаю.
       
      0.zip
×
×
  • Создать...