Перейти к содержанию

Рекомендуемые сообщения

Два файл сервера, с документами, базами 1с, картинками - зашифрованы, расширение .deep
В каждой папке info.txt с требованием выкупа
!!!All of your files are encrypted!!! To decrypt them send e-mail to this address: miltonqq@tuta.io. If we don't answer in 24h, send messge to telegram: @DataSupport911
во вложении логи FRST и архив с зашиврованными файлами (примеры).
Подскажите, что делать?
Уверенности в том что зловреды расшифруют файлы нет, даже если найдем 0.25 биткоина, которые требуют.
Спасибо

deep.zip FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит систему

Start::
(C:\Users\sklad\Music\Sqlll.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\cmd.exe <2>
(C:\Users\sklad\Music\Sqlll.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\SysWOW64\mshta.exe <5>
(explorer.exe ->) () [Файл не подписан] C:\Users\sklad\Music\Sqlll.exe <2>
HKLM\...\Run: [Sqlll] => C:\Users\sklad\AppData\Local\Sqlll.exe [57344 2024-02-04] () [Файл не подписан]
HKU\S-1-5-21-3015491378-1817679019-678914027-3606\...\Run: [Sqlll] => C:\Users\sklad\AppData\Local\Sqlll.exe [57344 2024-02-04] () [Файл не подписан]
IFEO\taskmgr.exe: [Debugger] Hotkey Disabled
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Sqlll.exe [2024-02-04] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-05-09 17:11 - 2024-05-09 17:11 - 000005535 _____ C:\Users\sklad\Desktop\info.hta
2024-05-09 17:11 - 2024-05-09 17:11 - 000000170 _____ C:\Users\sklad\Desktop\info.txt
2024-05-09 17:11 - 2024-05-09 17:11 - 000005535 _____ C:\info.hta
2024-05-09 17:11 - 2024-05-09 17:11 - 000000170 _____ C:\info.txt
2024-05-09 00:32 - 2024-05-09 01:06 - 000000000 ____D C:\Users\sklad\AppData\Roaming\Process Hacker 2
2024-05-09 00:31 - 2024-02-04 12:31 - 000057344 _____ C:\Users\sklad\AppData\Local\Sqlll.exe
2024-05-09 00:27 - 2024-05-09 00:47 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-05-09 00:27 - 2024-05-09 00:41 - 000000000 ____D C:\Program Files\Process Hacker 2
Reboot:
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

 

Далее,

 

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • juryvv
      От juryvv
      Помогите справиться. В сообщении следующее. Спасибо.
       
      All your files have been encrypted!
      All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail ware_house@tuta.io
      Write this ID in the title of your message 249B9E74-3351
      If you do not receive a response within 24 hours, please contact us by Telegram.org account: @Stop_24
      You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files. 
      Free decryption as guarantee
      Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
      How to obtain Bitcoins
      The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
      https://localbitcoins.com/buy_bitcoins
      Also you can find other places to buy Bitcoins and beginners guide here: 
      http://www.coindesk.com/information/how-can-i-buy-bitcoins/
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software, it may cause permanent data loss. 
      Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 
       
    • ksiva1967
      От ksiva1967
      Добрый день! На сервер проник вирус-шифровальщик. произошло шифрование файлов и деструкция тела сервера, вирус пытался выполнить шифрование удалённых ПК. Сервер отсекли от локалки, провели лечение Dr.Web LiveDisk, обнаружено тело вируса - fast.exe,  Dr.Web идентифицировал его как trojan.click3.31128. Просим помощи в дешифровке файлов. Заранее спасибо!
      Шифрованные файлы и требования вымогателей.zip LOG FILES FRST.ZIP
    • Arudin
      От Arudin
      Доброго дня. Зашифровали файлы.
       
      Зашифрованные данные были сразу удалены. Перезаписей на диск не было. Впоследствии восстановлены с помощью Recuva.
       
      восстановленный файл с вирусом fast.rar (во вложении с положенным паролем)/
       
      оставлен файл от злоумышленников info.txt (во вложении).
       
      архив с парой заражённых файлов files.rar (во вложении).
       
      Утилиту Farbar Recovery Scan Tool запускал на ранее заражённой ОС после переустановки ОС.
       
      Fast.rar files.rar info.txt Addition.txt FRST.txt
    • Alegrius
      От Alegrius
      trojan-ransom.win32.Phobos.vho определил КАВ.
      Стоит на сервере КА-сервер, но он его почему то пропустил, возможно через рдп.
      Лицензия на кав есть.
       
      FRST.txt kes_win.kud.id[2402B24C-3352].[antidata@tuta.io].rar
    • MIPHISTO
      От MIPHISTO
      Знакомые поймали шифровальщика, даже данные не могут отправить. Помогите плиз разобраться.
      website.zipinfo.txt
      Файл с вымогательством, зашифрованный и вероятно расшифрованный файл прилагаю
×
×
  • Создать...