Перейти к содержанию

Зашифровали компьютер suppdecrypt@onionmail.com


Рекомендуемые сообщения

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

Ссылка на сообщение
Поделиться на другие сайты
  • Цитата

    Подготовьте несколько небольших зашифрованных документов (двух будет достаточно), файл с требованиями злоумышленников и упакуйте их в архив.

    Это сделайте.

Ссылка на сообщение
Поделиться на другие сайты

Логи зашифрованные и файл с требованиями.rar
тут зашифрованные логи от FRST64 и файл их требований

Он работает по локальнйо сети, в 02:55 начал сегодня свое дело.
два пк в сети зашифрованы.
Нам если често нужно всего лишь 2 файла из всего, если их удастся расшифровать то как бы система уже не важна.
есть удаленный доступ на машины если нужно могу предоставить

Ссылка на сообщение
Поделиться на другие сайты
Сообщение от модератора kmscom
Тема перемещена из раздела Компьютерная помощь

 

Ссылка на сообщение
Поделиться на другие сайты
16 minutes ago, Samoxval said:

тут зашифрованные логи от FRST64 и файл их требований

В безопасный режим можете войти? очевидно в процессах активный шифровальщик, это могут быть процессы winlogon.exe, которые запущены не из system32. Они и шифруют. Если диспетчер процессов работает (скорее всего запуск заблокирован), закройте эти процессы. Хотя они могут через задачи заново запуститься. Так что лучше пробовать зайти в безопасный с поддержкой сети и из него собрать логи FRST, надо вначале вылечить систему.

Ссылка на сообщение
Поделиться на другие сайты

Принял, сейчас попробую, диспетчер задач недоступен сейчас, его брокирует

 

В безопасном режиме так же диспетчер задач недоступен(

Addition.txtFRST.txt

Но в безопасном он не зашифровал наш лог

 

Диспетчер включил в реестре и запустил кврт, был опыт что кврт блочит нехорошие процессы автоматом

image.thumb.png.e74373a40bd57fb2e97e21d6d5611e61.png

Без вашей команды ничего делать не буду

Ссылка на сообщение
Поделиться на другие сайты
Quote

Без вашей команды ничего делать не буду

Все правильно.

дополнительно система заражена еще и Neshta/

Neshta можно пролечить  только с загрузочного диска.

 

в безопасном режиме:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы

 

Start::
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-2409199089-102664677-2533462436-1001\...\Run: [ut] => "C:\Users\1\AppData\Roaming\uTorrent\uTorrent.exe"  /MINIMIZED (Нет файла)
HKU\S-1-5-21-2409199089-102664677-2533462436-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [9296592 2024-03-18] () [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-2409199089-102664677-2533462436-1001\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-18\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\info.hta [2024-03-18] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-03-18] () [Файл не подписан] <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-03-18] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2024-03-18] () [Файл не подписан]
Task: {B0938FB3-7057-42BD-9F3B-19CC9E7299BA} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
2024-03-18 14:30 - 2024-03-18 14:30 - 000110592 ___SH C:\ProgramData\oh3zl1su.exe
2024-03-18 14:30 - 2024-03-18 14:30 - 000110592 ___SH C:\ProgramData\ecarcxbt.exe
2024-03-18 14:28 - 2024-03-18 14:28 - 000110592 ___SH C:\ProgramData\vqvvy0xe.exe
2024-03-18 14:28 - 2024-03-18 14:28 - 000110592 ___SH C:\ProgramData\hzvy5qmg.exe
2024-03-18 14:25 - 2024-03-18 14:25 - 000110592 ___SH C:\ProgramData\yuwjqaqv.exe
2024-03-18 14:25 - 2024-03-18 14:25 - 000110592 ___SH C:\ProgramData\4pp21jpa.exe
2024-03-18 12:15 - 2024-03-18 12:15 - 000110592 ___SH C:\ProgramData\xj3i0mmn.exe
2024-03-18 12:15 - 2024-03-18 12:15 - 000110592 ___SH C:\ProgramData\ldcplztr.exe
2024-03-18 11:50 - 2024-03-18 14:28 - 000041472 _____ C:\Windows\svchost.com
HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ВНИМАНИЕ
2024-03-18 10:52 - 2024-03-18 11:50 - 000152064 ___SH C:\ProgramData\fxoo0l2x.exe
2024-03-18 10:52 - 2024-03-18 11:48 - 000152064 ___SH C:\ProgramData\0zbtlxez.exe
2024-03-18 10:51 - 2024-03-18 11:50 - 000152064 ___SH C:\ProgramData\oj0w5xu5.exe
2024-03-18 10:51 - 2024-03-18 10:51 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-03-18 10:51 - 2023-11-14 18:19 - 000556032 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-03-18 03:06 - 2024-03-18 11:50 - 000597504 ___SH C:\ProgramData\winlogon.exe
2024-03-18 03:06 - 2024-03-18 11:50 - 000152064 ___SH C:\ProgramData\bycyslo5.exe
2024-03-18 03:06 - 2024-03-18 11:48 - 000597504 ___SH C:\Users\1\AppData\Roaming\winlogon.exe
2024-03-18 03:06 - 2023-11-14 18:19 - 000556032 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-03-18 10:52 - 2024-03-18 11:48 - 000152064 ___SH () C:\ProgramData\0zbtlxez.exe
2024-03-18 14:25 - 2024-03-18 14:25 - 000110592 ___SH () C:\ProgramData\4pp21jpa.exe
2024-03-18 03:06 - 2024-03-18 11:50 - 000152064 ___SH () C:\ProgramData\bycyslo5.exe
2024-03-18 14:30 - 2024-03-18 14:30 - 000110592 ___SH () C:\ProgramData\ecarcxbt.exe
2024-03-18 10:52 - 2024-03-18 11:50 - 000152064 ___SH () C:\ProgramData\fxoo0l2x.exe
2024-03-18 14:28 - 2024-03-18 14:28 - 000110592 ___SH () C:\ProgramData\hzvy5qmg.exe
2024-03-18 12:15 - 2024-03-18 12:15 - 000110592 ___SH () C:\ProgramData\ldcplztr.exe
2024-03-18 14:30 - 2024-03-18 14:30 - 000110592 ___SH () C:\ProgramData\oh3zl1su.exe
2024-03-18 10:51 - 2024-03-18 11:50 - 000152064 ___SH () C:\ProgramData\oj0w5xu5.exe
2024-03-18 14:28 - 2024-03-18 14:28 - 000110592 ___SH () C:\ProgramData\vqvvy0xe.exe
2024-03-18 03:06 - 2024-03-18 11:50 - 000597504 ___SH () C:\ProgramData\winlogon.exe
2024-03-18 12:15 - 2024-03-18 12:15 - 000110592 ___SH () C:\ProgramData\xj3i0mmn.exe
2024-03-18 14:25 - 2024-03-18 14:25 - 000110592 ___SH () C:\ProgramData\yuwjqaqv.exe
2024-03-18 03:07 - 2024-03-18 03:07 - 000000395 _____ () C:\Program Files\Restore-My-Files.txt
2024-03-18 03:06 - 2024-03-18 11:48 - 000597504 ___SH () C:\Users\1\AppData\Roaming\winlogon.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

Далее,

необходимо пролечить систему с помощью загрузочного диска KRD

загрузиться с KRD и пролечить системный диск.

Далее, перегрузить систему в нормальный режим и сделать дополнительно  образ автозапуска

 

После проверки в KRD, сделайте образ автозапуска системы в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • sduganov
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
    • kemermax42
      От kemermax42
      Здравствуйте. Прошу помощи с шифровальщиком decryption@cock.lu
      Систему переставили, так как нужно было работать, файлы зашифрованные лежат на отдельном диске. 
      Подскажите что нужно отправить для помощи в расшифровке.
      Письмо вымогателя:
      >>>> Your data are encrypted ...
              All your files have been encrypted by Shuriken !!!
              
              To decrypt them send e-mail to this address : decryption@cock.lu
              
              If you do not receive a response within 24 hours, send an email to this address: decryption@cock.lu
              
              Need a quick decryption ? Send a telegram message @ShurikenAdmin
              
              
      >>>> Your DECRYPTION ID :  42*****
              Enter the ID of your files in the subject!
              
      >>>>  What is our decryption guarantee?
              Before paying you can send us up to 2 test files for free decryption !
              
              The total size of files must be less than 2Mb.(non archived) !
              
              Files should not contain valuable information.(databases,backups) !
              
              Compress the file with zip or 7zip or rar compression programs and send it to us!
      !!!Deleting "Cpriv.Shuriken" causes permanent data loss.
    • serioussd
      От serioussd
      Сервер поймал шифровальщик blackbit, прошу помощи в чистке сервера и возможной дешифровке файлов, пропали все программы, на сервере расположены базы 1с, postgresql  два файла.zipFixlog.txt   

    • Шевченко Максим
      От Шевченко Максим
      Сработал ночью в 5.50, на сервере стоял блок на пользователя при 3х попытках ввода пароля и блокировок по политике не было, но вирус затер все журналы винды до момента его отработки поэтому точно не могу сказать, остался *.hta файл может чем то поможет, но понимаю  чт Addition.txtо врятли. Стоял КЕС 12 эта бяка его снесла.
      FRST.txt Вирус.zip
    • Gupecology
      От Gupecology
      Взломали сервер и зашифровали файлы. Требуют выкуп. Из за чего непонятно, возможно взломали через rdp.FRST.txtAddition.txtАрхив WinRAR.rar
×
×
  • Создать...