Перейти к содержанию

Шифровальщик с расширением .deep

Alexey2309
 Поделиться

Рекомендуемые сообщения

Alexey2309

Alexey2309

Опубликовано
Опубликовано

Здравствуйте! Словили шифровальщика, теперь все файлы с таким хвостом .id[86E0E144-3352].[miltonqq@tuta.io].deep

Образцы в архиве. Пароль: virus

Система загружается но ничего сделать не дает, не могу даже открыть диспетчер задач.

virus.zip

safety

safety

Опубликовано
Опубликовано (изменено)
Quote

Система загружается но ничего сделать не дает, не могу даже открыть диспетчер задач.

 

Возможно есть еще активное заражение.

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Изменено пользователем safety
  • 3 недели спустя...
safety

safety

Опубликовано
Опубликовано

В безопасном режиме Safe mode сможете загрузить систему?

 

в SM создайте образ автозапуска системы с помощью uVS для проверки.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

safety

safety

Опубликовано
Опубликовано

По очистке в uVS

 

активных тел шифровальщика нет.

скриптом очищаем ссылки на запуск тела шифровальщика, (SQLLL.EXE, которого уже нет)

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы.

  

;uVS v4.15.4v [http://dsrt.dyndns.org:8888]
;Target OS: NTv0.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-CRDH5Q3A9SP\APPDATA\LOCAL\SQLLL.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID[86E0E144-3352].[MILTONQQ@TUTA.IO].DEEP
delall %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-CRDH5Q3A9SP\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID[86E0E144-3352].[MILTONQQ@TUTA.IO].DEEP
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ANYDESK.LNK.ID[86E0E144-3352].[MILTONQQ@TUTA.IO].DEEP
apply
QUIT

Далее,

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Shantin
      Шифровальщик с расширением [miltonqq@tuta.io].deep
      Автор Shantin
      Добрый день! Поймали шифровальщика на сервере.  
       
      !!All of your files are encrypted!!!
      To decrypt them send e-mail to this address: miltonqq@tuta.io.
      If we don't answer in 24h, send messge to telegram: @DataSupport911

      virus.rar
       
      FRST.txt
    • webbuilding
      шифровальщик deep
      Автор webbuilding
      Два файл сервера, с документами, базами 1с, картинками - зашифрованы, расширение .deep
      В каждой папке info.txt с требованием выкупа
      !!!All of your files are encrypted!!! To decrypt them send e-mail to this address: miltonqq@tuta.io. If we don't answer in 24h, send messge to telegram: @DataSupport911
      во вложении логи FRST и архив с зашиврованными файлами (примеры).
      Подскажите, что делать?
      Уверенности в том что зловреды расшифруют файлы нет, даже если найдем 0.25 биткоина, которые требуют.
      Спасибо
      deep.zip FRST.txt Addition.txt
    • o.v.burcev
      словил шифровальщик .deep
      Автор o.v.burcev
      Добрый вечер.
      Шифровальщик зашифровал все файлы на компе, помогите разобраться, есть ли шанс восстановить
       
      Пароль на архив с файлами вируса - virus
      virus.zip файлы FRST.7z File1.7z File2.7z
    • Sweethome-2005
      Шифровальщик .DEEP (Win32.Phobos.vho)
      Автор Sweethome-2005
      Поймал шифровальщик. Вероятно влез через открытый проброс порта RDP на роутере.
      шифрованные файлы.rar Addition.rar FRST.rar
    • Arudin
      шифровальщик / qqtiq@tuta.io / *.deep
      Автор Arudin
      Доброго дня. Зашифровали файлы.
       
      Зашифрованные данные были сразу удалены. Перезаписей на диск не было. Впоследствии восстановлены с помощью Recuva.
       
      восстановленный файл с вирусом fast.rar (во вложении с положенным паролем)/
       
      оставлен файл от злоумышленников info.txt (во вложении).
       
      архив с парой заражённых файлов files.rar (во вложении).
       
      Утилиту Farbar Recovery Scan Tool запускал на ранее заражённой ОС после переустановки ОС.
       
      Fast.rar files.rar info.txt Addition.txt FRST.txt
×
×
  • Создать...