Перейти к содержанию

Шифровальщик с расширением .deep

Alexey2309
 Share

Рекомендуемые сообщения

Alexey2309 Новичок

Alexey2309

Опубликовано
Опубликовано

Здравствуйте! Словили шифровальщика, теперь все файлы с таким хвостом .id[86E0E144-3352].[miltonqq@tuta.io].deep

Образцы в архиве. Пароль: virus

Система загружается но ничего сделать не дает, не могу даже открыть диспетчер задач.

virus.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
Quote

Система загружается но ничего сделать не дает, не могу даже открыть диспетчер задач.

 

Возможно есть еще активное заражение.

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • 3 weeks later...
safety Гигант мысли

safety

Опубликовано
Опубликовано

В безопасном режиме Safe mode сможете загрузить систему?

 

в SM создайте образ автозапуска системы с помощью uVS для проверки.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке в uVS

 

активных тел шифровальщика нет.

скриптом очищаем ссылки на запуск тела шифровальщика, (SQLLL.EXE, которого уже нет)

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы.

  

;uVS v4.15.4v [http://dsrt.dyndns.org:8888]
;Target OS: NTv0.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-CRDH5Q3A9SP\APPDATA\LOCAL\SQLLL.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID[86E0E144-3352].[MILTONQQ@TUTA.IO].DEEP
delall %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-CRDH5Q3A9SP\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID[86E0E144-3352].[MILTONQQ@TUTA.IO].DEEP
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ANYDESK.LNK.ID[86E0E144-3352].[MILTONQQ@TUTA.IO].DEEP
apply
QUIT

Далее,

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Юрикс
      Шифровальщик, расширение .A7V3ac
      От Юрикс
      Приветствую всех. Уже прилично как зашифровало файлы. Почтой отправлял данные (сам вирус и шифрованные файлы) в Касперский, но что-то тишина.
      Шифрование похоже на .7Kf9uY и .rOSb1V. Только в сообщении у меня другая ссылка на сайт. А так, вроде и сайт с тем самим видом.
      Внимание! Все Ваши файлы зашифрованы!Чтобы восстановить свои файлы посетите сайт http://plc.2fh.co Если сайт недоступен пишите на plc12@inbox.com Ваш id d9115873 У вас есть 6 попыток ввода кода. При превышении этого  лимита все данные необратимо испортятся. Надеюсь и мне повезёт с расшифровкой.
      Прикладываю шифрованный файл.
      OemInfo.zip.zip
    • Always_Young
      Шифровальщик вымогатель. Расширение .y8ItHTbGJ
      От Always_Young
      Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

      Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip
    • Алексей Шеин
      Файлы зашифрованы шифровальщиком с расширением .yzho
      От Алексей Шеин
      Добрый день.
       
      Зашифровались данные на дисках компьютера, все файлы стали с расширением .yzho кто подскажет, чем можно расшифровать?
      Спасибо.
       
      С уважением,
      Алексей Шеин
       

       
    • talga_mprint
      Неизвестный шифровальщик с расширением файлов .m0D0cQNMb
      От talga_mprint
      Доброго времени суток, нужна помощь в определении или расшифровке файлов.
      В пятницу вечером (070225) на компьютере сотрудника были зашифрованный файлы, предположительно через RDP(!rdp осуществляется через vpn с 2 ключами безопасности).

      Так же присутствует readme файл с email для контактов и выкупа. 
      Addition.txt FRST.txt encrypt-files.rar
      m0D0cQNMb.README.txt
    • Croony
      Через RDP шифровальщик с расширением .frank
      От Croony
      Addition.txt FRST.txt Desktop.zip Frank_Help.txt
×
×
  • Создать...