Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы

Катеринка_2016

Автор Катеринка_2016
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Катеринка_2016 Новичок

Катеринка_2016

Опубликовано
Опубликовано

Доброго времени суток! Появилась такая проблема...

Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Нашла тему на вашем форуме сделала всё по инструкции вот информация....

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 

Еще немного логов через программу  Farbar Recovery Scan Tool.

cureit.log

CollectionLog-2015.03.15-12.57.zip

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
     
    CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1498487477-2277533519-3415189630-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR&q={searchTerms}
http://istart.webssearches.com/?type=hp&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR
HKU\S-1-5-21-1498487477-2277533519-3415189630-1000\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://mail.yandex.ru/?win=155&clid=47355
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1498487477-2277533519-3415189630-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR&q={searchTerms}
Toolbar: HKU\S-1-5-21-1498487477-2277533519-3415189630-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
FF HKU\S-1-5-21-1498487477-2277533519-3415189630-1000\...\Firefox\Extensions: [{4C221D56-A54A-A548-2CE6-322758891EDC}] - C:\Program Files (x86)\ver3BlockAndSurf\180.xpi
FF Extension: BlockAndSurf - C:\Program Files (x86)\ver3BlockAndSurf\180.xpi [2014-10-19]
CHR HomePage: Default -> hxxp://istart.webssearches.com/?type=hp&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR
CHR StartupUrls: Default -> "hxxp://istart.webssearches.com/?type=hp&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR"
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2014-09-02]
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2015-03-09]
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-01-18]
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2015-01-17]
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-09-02]
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
StartMenuInternet: Google Chrome.XKGWXPWJPQ4M2DT7Y7TOTCRDUQ - C:\Users\Admin\AppData\Local\Google\Chrome\Application\chrome.exe http://istart.webssearches.com/?type=sc&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR
2015-03-12 13:40 - 2015-03-14 00:10 - 00000000 ___HD () C:\Users\Admin\AppData\Roaming\DA969B95
Reboot:
  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • paradox197755
      Зашифрованы диски на сервере.
      Автор paradox197755
      Зашифрованы диски на сервере.

    • Fly13
      зашифрованы ДИСКИ на серверах
      Автор Fly13
      Не очень добрый день)
       
      Есть несколько серверов на Винде. Некоторые утром показывают то, что на скрине.  Далее текст со скрина:
       
      contact email ukrhq@proton.me or dhelp@mailfence.com 
      send id
       
      Фактически на системных дисках и дисках с данными нет разделов, живая винда предлагает их форматировать. Есть предположение, что плохиши подключались по rdp и шифровали диски программой dcrypt.
       
      Прошу помощи, готов к тратам
       

    • Денис Виноградов
      Зашифровали файлы на пк и на общем диске
      Автор Денис Виноградов
      Добрый день, на выходные оставляли ПК включенным, с утра человек уже увидел картину со всеми зашифрованными файлами на пк и также на общем диске в сети. Прикрепляю исходный файл, зашифрованный и текст с требованием связаться для расшифровки файлов. Просьба подсказать, что можно придумать в данной ситуации
      files.zip
    • qwert1
      заблочили диски и файлы зашифровали (bitlocker & ooo4ps)
      Автор qwert1
      День добрый. Прошу помочь разблокировать диски и данные на них  - необходимые фалы приложил, кроме самого шифровальщика (его найти не удалось).
      При подключении к серверу с 1С все диски кроме С заблочены Битлокером, с рабочего столе самозапустился файл FILES_ENCRYPTED с сообщением о взломе.
      exampleOOO4PS.zip Addition.txt FRST.txt FILES_ENCRYPTED.txt
    • Kazantipok
      Зашифровали файлы с расширением oo4ps и диски Bitlocker
      Автор Kazantipok
      Windows Server 2019 развернут 31.01.25.
       
      До 08:24 16.02.25 все работало. Была установлена синхронизация с Dropbox диска D. После этого по логам начали удаляться все папки и файлы. С утра 17.02.25 сервер 1С не доступен, пароль Админа к серверу по RDP не подходил, сервер перезагружался (не помогло), вручную вкл./выкл. помогло, зашел под другой учеткой с админ. правами, сбросил пароль основной учетки Админ. По итогу на диске С файлы с расширением .oo4ps и два диска D и E запаролены Bitlocker.
      Помогите пожалуйста разблокировать диск E - там хранились бекапы.
      Desktop.rar FRST.txt Addition.txt
×
×
  • Создать...