Перейти к содержанию

Шифровальщик локи.

Genas
 Share

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

 

17 часов назад, Genas сказал:

не на один профиль не могу войти

Пролечите систему с помощью KRD, если не планируете переустановку.

Ссылка на комментарий
Поделиться на другие сайты
Genas Новичок

Genas

Опубликовано
  • Автор
Опубликовано
13 minutes ago, Sandor said:

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

 

Пролечите систему с помощью KRD, если не планируете переустановку.

Обязательно KRD использовать? Касперский премиум прибил этого негодяя и там есть опция восстановить.

image.thumb.png.bee6457d552785e0d3d1f2cdb2372eae.png

Ссылка на комментарий
Поделиться на другие сайты
Genas Новичок

Genas

Опубликовано
  • Автор
Опубликовано

 

26 minutes ago, Sandor said:

Ярлыки вероятно лежат на общем столе, типа c:\Users\Public\Desktop\

 

Соберите логи Farbar, посмотрим нужно ли что дочистить.

frst.7z

Логи собрал, посмотрите, плс.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Повреждённые учётные записи (профили) придётся пересоздавать.

Пароли на админских учётках смените и сократите их количество до одной.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{3C2E3216-D451-4770-B786-D041654023CC}] => (Allow) C:\Program Files (x86)\Remote Manipulator System - Host\rutserv.exe => Нет файла
FirewallRules: [{C13669A7-73DB-42F8-9394-F3C3F7FECB91}] => (Allow) LPort=54925
FirewallRules: [{F530AE91-2B4B-45CC-80D0-45D6F01613EB}] => (Allow) LPort=22
FirewallRules: [{5287F404-47E7-4CC9-A433-E4E2951B5437}] => (Allow) LPort=22
FirewallRules: [{C2B62029-B053-4E3A-9161-68B17B59B76F}] => (Block) C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe => Нет файла
FirewallRules: [{C07B9FCE-BFDB-4066-86FF-690E1B9EC872}] => (Block) C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe => Нет файла
FirewallRules: [UDP Query User{4F6069C2-98EF-4489-AF33-F9DC9E7052DC}C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe] => (Allow) C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe => Нет файла
FirewallRules: [TCP Query User{9C7EBFF0-CC2F-4F7B-8713-04E7B426226E}C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe] => (Allow) C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe => Нет файла
FirewallRules: [{A7B240A8-D799-434D-8828-2FB9AE7DA04D}] => (Allow) LPort=80
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Genas Новичок

Genas

Опубликовано
  • Автор
Опубликовано
37 minutes ago, Sandor said:

Повреждённые учётные записи (профили) придётся пересоздавать.

Пароли на админских учётках смените и сократите их количество до одной.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{3C2E3216-D451-4770-B786-D041654023CC}] => (Allow) C:\Program Files (x86)\Remote Manipulator System - Host\rutserv.exe => Нет файла
FirewallRules: [{C13669A7-73DB-42F8-9394-F3C3F7FECB91}] => (Allow) LPort=54925
FirewallRules: [{F530AE91-2B4B-45CC-80D0-45D6F01613EB}] => (Allow) LPort=22
FirewallRules: [{5287F404-47E7-4CC9-A433-E4E2951B5437}] => (Allow) LPort=22
FirewallRules: [{C2B62029-B053-4E3A-9161-68B17B59B76F}] => (Block) C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe => Нет файла
FirewallRules: [{C07B9FCE-BFDB-4066-86FF-690E1B9EC872}] => (Block) C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe => Нет файла
FirewallRules: [UDP Query User{4F6069C2-98EF-4489-AF33-F9DC9E7052DC}C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe] => (Allow) C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe => Нет файла
FirewallRules: [TCP Query User{9C7EBFF0-CC2F-4F7B-8713-04E7B426226E}C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe] => (Allow) C:\users\секретарь\documents\1c-connect\bin\bph_rda\rms\rutserv.exe => Нет файла
FirewallRules: [{A7B240A8-D799-434D-8828-2FB9AE7DA04D}] => (Allow) LPort=80
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Fixlog.7z Готово

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Уязвимые места и устаревшее критическое ПО можно проверить так:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты
Genas Новичок

Genas

Опубликовано
  • Автор
Опубликовано
21 hours ago, Sandor said:

Уязвимые места и устаревшее критическое ПО можно проверить так:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 


 

SecurityCheck.txt Готово

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Stillegoth
      Новый Blackbit, на почту и ТГ не отвечают. Очень прошу помощи!
      От Stillegoth
      Друзья, прошу помощи! Кто-то словил заразу и вот такая оказия. Самая жесть, что ни на почту, ни на Телеграм не отвечают. Что можно сделать? Спасите! Во вложении зашифрованные файлы и письмо.
      Договор АВАНТ ООО.pdf Restore-My-Files.txt ООО Компания Тензор лицензионный договор и договор купли-продажи № 88221....pdf
    • sduganov
      зашифровали сервер 1С
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
    • kemermax42
      Шифровальщик decryption@cock.lu
      От kemermax42
      Здравствуйте. Прошу помощи с шифровальщиком decryption@cock.lu
      Систему переставили, так как нужно было работать, файлы зашифрованные лежат на отдельном диске. 
      Подскажите что нужно отправить для помощи в расшифровке.
      Письмо вымогателя:
      >>>> Your data are encrypted ...
              All your files have been encrypted by Shuriken !!!
              
              To decrypt them send e-mail to this address : decryption@cock.lu
              
              If you do not receive a response within 24 hours, send an email to this address: decryption@cock.lu
              
              Need a quick decryption ? Send a telegram message @ShurikenAdmin
              
              
      >>>> Your DECRYPTION ID :  42*****
              Enter the ID of your files in the subject!
              
      >>>>  What is our decryption guarantee?
              Before paying you can send us up to 2 test files for free decryption !
              
              The total size of files must be less than 2Mb.(non archived) !
              
              Files should not contain valuable information.(databases,backups) !
              
              Compress the file with zip or 7zip or rar compression programs and send it to us!
      !!!Deleting "Cpriv.Shuriken" causes permanent data loss.
    • serioussd
      Шифровальщик blackbit, windows server 2012r2
      От serioussd
      Сервер поймал шифровальщик blackbit, прошу помощи в чистке сервера и возможной дешифровке файлов, пропали все программы, на сервере расположены базы 1с, postgresql  два файла.zipFixlog.txt   

    • Шевченко Максим
      Хапнули шифровальщика похоже через RDP, остался файл в корне диска *.hta
      От Шевченко Максим
      Сработал ночью в 5.50, на сервере стоял блок на пользователя при 3х попытках ввода пароля и блокировок по политике не было, но вирус затер все журналы винды до момента его отработки поэтому точно не могу сказать, остался *.hta файл может чем то поможет, но понимаю  чт Addition.txtо врятли. Стоял КЕС 12 эта бяка его снесла.
      FRST.txt Вирус.zip
×
×
  • Создать...