Перейти к содержанию

зашифрованы данные с расширением .id-8789996206_marineelizz@inbox

alex.1206
 Поделиться

Рекомендуемые сообщения

alex.1206

alex.1206

Опубликовано
Опубликовано

Здравствуйте! Случилась беда, на ноутбуке все вордовские, экселевские документы,фотки, видео зашифровались с расширением .id-8789996206_marineelizz@inbox, на рабочем столе фотка бешенного тасманийского дьявола с предложением получить для него вакцину и 2 почтовых ящика для связи, marineelizz@inbox.ru и Dibloyad@mail.vu . Проверил антивирусом Kaspersky Internet Security нашлось больше десяти троянов, вылечил систему, но файлы остались закодированными. Пробовал расшифровать с помощью Kaspersky XoristDecryptor  и Kaspersky RectorDecryptor   не помогло. Прошу помощи

CollectionLog-2014.12.20-22.49.zip

mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! Деинсталлируйте:
 
Mobogenie3-->C:\Program Files (x86)\Mobogenie3\Uninstall.exe
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin   
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\mobogenie3\mobogenieservice.exe');
 TerminateProcessByName('c:\program files (x86)\mobogenie\mgassist.exe');
 TerminateProcessByName('c:\program files (x86)\mobogenie\daemonprocess.exe');
 SetServiceStart('MobogenieService', 4);
 SetServiceStart('MgAssistService', 4);
 StopService('MobogenieService');
 StopService('MgAssistService');
 QuarantineFile('c:\program files (x86)\mobogenie3\mobogenieservice.exe','');
 QuarantineFile('c:\program files (x86)\mobogenie\mgassist.exe','');
 QuarantineFile('c:\program files (x86)\mobogenie\daemonprocess.exe','');
 DeleteFile('c:\program files (x86)\mobogenie\daemonprocess.exe','32');
 DeleteFile('C:\Program Files (x86)\Mobogenie\MgAssist.exe','32');
 DeleteFile('C:\Program Files (x86)\Mobogenie3\MobogenieService.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Suicide','command');
 DeleteService('MobogenieService');
 DeleteService('MgAssistService');
 DeleteFileMask('C:\Program Files (x86)\DolkaRuIePlugin', '*', true, ' ');
 DeleteDirectory('C:\Program Files (x86)\DolkaRuIePlugin');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(22);
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
O2 - BHO: Weatherbar - {17177FAA-3830-43D3-A70B-FDE532676B1E} - C:\Program Files (x86)\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
O4 - Startup: fiji.bmp
 

 

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке
 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
Сделайте новые логи Автологгером. 
 
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
 
alex.1206

alex.1206

Опубликовано
  • Автор
Опубликовано

Деинсталлировал  Mobogenie3-->C:\Program Files (x86)\Mobogenie3\Uninstall.exe

Ответ:

KLAN-2366276662

daemonprocess.exe,

mgassist.exe

 

Пофиксил  следующие строчки в HiJackThis 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
O2 - BHO: Weatherbar - {17177FAA-3830-43D3-A70B-FDE532676B1E} - C:\Program Files (x86)\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - Startup: fiji.bmp

 

Отчет о работе ClearLNK

 

 

 


Отчет  AdwCleaner (by Xplode) 

 

ClearLNK-22.12.2014_13-24.log

AdwCleanerR0.txt

Roman_Five

Roman_Five

Опубликовано
Опубликовано

удаляйте всё найденное в AdwCleaner (можете оставить Mail.ru)

новый лог приложите

mike 1

mike 1

Опубликовано
Опубликовано

С расшифровкой помочь не сможем, однако конкуренты ведут некоторую работу в этом направлении. 

alex.1206

alex.1206

Опубликовано
  • Автор
Опубликовано

Спасибо за помощь. Зашифрованные файлы потеряны без возможности восстановления?

mike 1

mike 1

Опубликовано
Опубликовано

Спасибо за помощь. Зашифрованные файлы потеряны без возможности восстановления?

В прошлый раз конкурентам понадобилось на расшифровку предыдущей версии 741 шифратора около 3-4 месяцев так что, если у вас есть возможность подождать, то лучше пока подождать, возможно позднее появится решение. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AYu
      Зашифровали данные сервера. Расширение .griffin
      Автор AYu
      Взломали сервер, зашифровали данные, требуют выкуп. Может ктосталкивался с ним? Ведем переговоры с *****
      yFhK8sxrC0.rar
    • Andrews_vm
      Зашифровали данные на ПК с расширением .eking
      Автор Andrews_vm
      Поймал шифровальщик. Вероятно влез через RDP.
      KRD определил как HEUR:Trojan-Ransom.Win32.Phobos.vho 
      Зашифрованые файлы имеют названия ИмяИсходногоФайла.id[14101A37-2899].[update2020@airmail.cc].eking
      Понимаю, что пока с расшифровкой дело гиблое (буду рад каким-то новостям), но может как-то почистить систему, чтоб вчистую не поднимать заново? Заранее спасибо за помощь.
      Addition.txt FRST.txt EncryptedFiles.zip
    • Дмитрий С1990
      Зашифровали данные
      Автор Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • Илья-Р
      Surtr зашифровал данные
      Автор Илья-Р
      Surtr зашифровал данные.
       
      Ниже сообщение.
       
      What happened to your files?
      Unfortunately, your server was compromised, 
      using a security hole in your server.
      All your files are encrypted with a military algorithm .
      in order to contact us you can email this address
      dectokyo@onionmail.org
      use this ID( l0s9viwsc8if5y ) for the title of your email.
      if you weren't able to contact us within 24 hours please email :
      dectokyo@cock.li , TELEGRAM :@tokyosupp
      Only we can decrypt your files.
      Please do not contact separate fraudulent sites.
      You can use freeand even paid software on the Internet, 
      but it is uselessand will cause you to lose filesand timeand money.
       
      В приложении архив RAR. 
       
      Подскажите, пожалуйста, как расшифровать?
      Surtr.rar
    • AlexNewBorn
      Подключились по RDP и зашифровали данные на сервере с SQL расширение BEAST
      Автор AlexNewBorn
      10-го января  зашифровали данные получились файлы по маске ИмяРасширенияфайла + .{4C055846-FDA1-827B-E14F-B6275672F44A}.BEAST , в каждой папке txt файл с требованием выкупа. Не обращались.  Во вложении файлы логи FRST и архив с двумя зашифрованными файлами и двумя их копиями не зашифрованными, а так же записка с требованием.  к сожалению были зашифрованы так же данные , которые хотелось бы восстановить более актуальные, если есть такая возможность.
      Addition.txt encr.zip FRST.txt
×
×
  • Создать...