Перейти к содержанию
Конкурс на лучшую идею по развитию продукта Kaspersky для Android и/или iOS

Зашифрованы данные

89887006868Artem
 Share

Рекомендуемые сообщения

89887006868Artem Новичок

89887006868Artem

Опубликовано
Опубликовано

Добрый день! помогите с такой ситуацией  :

Вот что пишет в Redmi  

 

Файле :Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:
DE42BAD86F3F2B3D1EED|0
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
Сообщение от модератора Mark D. Pearlstone
Тема перенесена из раздела "Задай вопрос Евгению Касперскому"

README2.txt

Ссылка на комментарий
Поделиться на другие сайты
status12 Ветеран

status12

Опубликовано
Опубликовано

Добрый день.

Евгений Валентинович не консультирует по вопросу уничтожения вирусов. Этим занимаются консультанты.

Для получения помощи выполните правила http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Благодарю за понимание.

Ссылка на комментарий
Поделиться на другие сайты
status12 Ветеран

status12

Опубликовано
Опубликовано

А где логи? Без логов помощь вряд ли будет оказана.

Вложите в сообщение файл протоколов (логов) - CollectionLog-yyyy.mm.dd-hh.mm.zip и ждите ответ консультантов.

Ссылка на комментарий
Поделиться на другие сайты
Mark D. Pearlstone Мудрец

Mark D. Pearlstone

Опубликовано
Опубликовано
@89887006868Artem, вас просят выполнить правила раздела. Прочтите внимательно и выполните "Порядок оформления запроса о помощи"
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\ver1BlockAndSurf\J6BlockAndSurfR79.exe','');
QuarantineFile('C:\windows\system32\drivers\{f916f162-d4e9-413b-95d2-589769dc98ff}w64.sys','');
QuarantineFile('C:\windows\system32\drivers\{df8d93ab-56ab-414d-b711-87b0e2749bbd}w64.sys','');
QuarantineFile('C:\windows\system32\drivers\{de9a8c18-3a6f-4bd8-ac1b-b4f6ec7d51eb}w64.sys','');
DeleteService('{f916f162-d4e9-413b-95d2-589769dc98ff}w64');
DeleteService('{df8d93ab-56ab-414d-b711-87b0e2749bbd}w64');
DeleteService('{de9a8c18-3a6f-4bd8-ac1b-b4f6ec7d51eb}w64');
QuarantineFile('C:\windows\system32\drivers\{cfbbf934-a234-4282-8ef3-310abb84c3e4}w64.sys','');
QuarantineFile('C:\windows\system32\drivers\{cb987b80-b481-4623-9e86-1b830e33479a}w64.sys','');
DeleteService('{cfbbf934-a234-4282-8ef3-310abb84c3e4}w64');
DeleteService('{cb987b80-b481-4623-9e86-1b830e33479a}w64');
QuarantineFile('C:\windows\system32\drivers\{b66d62b0-ebea-42c8-88c7-71cdab32919e}w64.sys','');
QuarantineFile('C:\windows\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys','');
DeleteService('{b66d62b0-ebea-42c8-88c7-71cdab32919e}w64');
DeleteService('{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64');
QuarantineFile('C:\windows\system32\drivers\{9a9b956a-1677-4d20-830c-6c34a0594e62}w64.sys','');
QuarantineFile('C:\windows\system32\drivers\{6fd9ae77-e80c-4df0-b53d-23fcb52b001a}w64.sys','');
DeleteService('{9a9b956a-1677-4d20-830c-6c34a0594e62}w64');
DeleteService('{6fd9ae77-e80c-4df0-b53d-23fcb52b001a}w64');
DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64');
QuarantineFile('C:\windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys','');
QuarantineFile('C:\windows\system32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}w64.sys','');
DeleteService('{6191cc23-5db4-4079-aaac-546c45b08af1}w64');
QuarantineFile('C:\windows\system32\drivers\{58ff284e-6a3e-41bc-8147-d768e1c0e4a3}w64.sys','');
DeleteService('{58ff284e-6a3e-41bc-8147-d768e1c0e4a3}w64');
DeleteService('{127a069d-96fc-463f-b75f-e01a70166822}w64');
DeleteService('{1de0dec0-675e-482f-a756-fd24c6796c8e}w64');
DeleteService('{44b76908-31ad-4fdd-90ce-abbdbb78f175}w64');
DeleteService('{55685567-4840-4a91-962b-49a412e9485a}Gw64');
DeleteService('{55685567-4840-4a91-962b-49a412e9485a}w64');
QuarantineFile('C:\windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys','');
QuarantineFile('C:\windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys','');
QuarantineFile('C:\windows\system32\drivers\{44b76908-31ad-4fdd-90ce-abbdbb78f175}w64.sys','');
QuarantineFile('C:\windows\system32\drivers\{1de0dec0-675e-482f-a756-fd24c6796c8e}w64.sys','');
QuarantineFile('C:\windows\system32\drivers\{127a069d-96fc-463f-b75f-e01a70166822}w64.sys','');
QuarantineFile('C:\windows\system32\drivers\{0c6ad4fc-d56b-44cb-a06e-debba12bf68a}w64.sys','');
DeleteService('{0c6ad4fc-d56b-44cb-a06e-debba12bf68a}w64');
DeleteFile('C:\windows\system32\drivers\{0c6ad4fc-d56b-44cb-a06e-debba12bf68a}w64.sys','32');
DeleteFile('C:\windows\system32\drivers\{127a069d-96fc-463f-b75f-e01a70166822}w64.sys','32');
DeleteFile('C:\windows\system32\drivers\{1de0dec0-675e-482f-a756-fd24c6796c8e}w64.sys','32');
DeleteFile('C:\windows\system32\drivers\{44b76908-31ad-4fdd-90ce-abbdbb78f175}w64.sys','32');
DeleteFile('C:\windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys','32');
DeleteFile('C:\windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys','32');
DeleteFile('C:\windows\system32\drivers\{58ff284e-6a3e-41bc-8147-d768e1c0e4a3}w64.sys','32');
DeleteFile('C:\windows\system32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}w64.sys','32');
DeleteFile('C:\windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys','32');
DeleteFile('C:\windows\system32\drivers\{6fd9ae77-e80c-4df0-b53d-23fcb52b001a}w64.sys','32');
DeleteFile('C:\windows\system32\drivers\{9a9b956a-1677-4d20-830c-6c34a0594e62}w64.sys','32');
DeleteFile('C:\windows\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys','32');
DeleteFile('C:\windows\system32\drivers\{b66d62b0-ebea-42c8-88c7-71cdab32919e}w64.sys','32');
DeleteFile('C:\windows\system32\drivers\{cb987b80-b481-4623-9e86-1b830e33479a}w64.sys','32');
DeleteFile('C:\windows\system32\drivers\{cfbbf934-a234-4282-8ef3-310abb84c3e4}w64.sys','32');
DeleteFile('C:\windows\system32\drivers\{de9a8c18-3a6f-4bd8-ac1b-b4f6ec7d51eb}w64.sys','32');
DeleteFile('C:\windows\system32\drivers\{df8d93ab-56ab-414d-b711-87b0e2749bbd}w64.sys','32');
DeleteFile('C:\windows\system32\drivers\{f916f162-d4e9-413b-95d2-589769dc98ff}w64.sys','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Program Files (x86)\ver1BlockAndSurf\J6BlockAndSurfR79.exe','32');
DeleteFile('C:\windows\Tasks\BlockAndSurf Update.job','64');
DeleteFile('C:\windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\windows\system32\Tasks\BlockAndSurf Update','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Инфлюенсер
      Данные зашифрованные с помощью diskCriptor
      От Инфлюенсер
      Добрый день, произошел взлом системы. Пострадали пк и сервера, злоумышленник зашифровал данные. Так же попросил выкуп. для теста дал пароль от одного из дисков с помощью которого удалось расшифровать диск с которого собраны логи по запросу, в данный момент диски заблокированы. Требуется ли с помощью программы R.Saver   попытаться вытащить какиет-о файлы, так как в настоящий момент  диски являются роу
      Addition.txtFRST.txt
    • Дмитрий С1990
      Зашифровали данные
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • AntOgs
      Шифровальщик проник на сервера(2шт) с RDP, зашифровал все данные. Расширение .innok
      От AntOgs
      Добрый день! Помогите расшифровать данные.
      Шифровальщик вымогатель с расширением .innok  проник на сервера с RDP на windows server 2016 и 2012
      Зашифровал множестово (1с Базы, документы, картинки...) данных в том числе на всех сетевых дисках в локальной сети.
      После шифрования почистил журнал событий, отключилась функция VSS восстановления. Файл вируса не обнаружил. 
      Буду благодарен за любую помощь в расшифровке.
      Зашифрованные документы и файл с требованиями.rar логи FRST WS2012.rar логи FRST WS2016.rar
    • dexter
      О настройке защиты ввода данных
      От dexter
      Всем привет.
       
      Открыл меню Плюса и увидел сообщение (скрин). Ладно, залез в BIOS и включил виртуализацию и попутно (по совету в одной из профильных статей ЛК) параметр VT-d.
      Опять посетил Настройку защиты ввода данных и опять сообщение "... Обнаружено несовместимое устройство или программное обеспечение."
       
      Хорошо. По поводу устройства - ясен пень, имеется в виду модуль TPM . Но он у меня не установлен. Это я знаю точно, поскольку я его не покупал и не устанавливал ( как мне разъяснили в одном из магазинов,
      сие устройство запрещено к оф. продаже). Разъём на плате есть, а самого модуля - нету.
       
      Смотрим и читаем дальше много букв в одной из профильных статей от ЛК. И оказывается, что причин о несовместимости программного обеспечения может быть несколько - https://support.kaspersky.ru/common/safemoney/13713#block1
      то что вверху написано - не суть важно. Листаем список ниже. И что мы там видим ? А то, что под программным обеспечением имеется в виду в том числе Изоляция ядра и Smart App Control.
      У меня, на начальной стадии использования винды-11 Smart App Control отключен, т.к. находится в  режиме "Оценка".
       
      А теперь такой вопрос к разработчикам : нельзя как-то решить эту коллизию с Smart App Control , Изоляцией ядра и защитой ввода данных с использованием аппаратной виртуализации ?
      Или вы реально решили, что для функционирования Плюса в том виде, как Вы задумали , надо отключить несколько функций по обеспечению безопасности в самой системе ?


    • Bercolitt
      Удаленный доступ к моим данным на ПК
      От Bercolitt
      У меня Windows 10 домашний, следовательно нет удаленного рабочего стола. Многие документы и картинки с моего ПК перенеслись автоматически в облачное хранилище OneDrive. Это видно в проднике. Особого доверия к этому хранилищу нет. Если возникают какие-то предупреждения от Kaspersky Plus, то в качестве пользователя указывается модифицированное имя моего ПК с добавлением знака доллара $ на конце. Это удаленный доступ хакера или программы бота к моим данным?
×
×
  • Создать...