Перейти к содержанию

Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы

Катеринка_2016

Автор Катеринка_2016
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Катеринка_2016 Новичок

Катеринка_2016

Опубликовано
Опубликовано

Доброго времени суток! Появилась такая проблема...

Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Нашла тему на вашем форуме сделала всё по инструкции вот информация....

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 

Еще немного логов через программу  Farbar Recovery Scan Tool.

cureit.log

CollectionLog-2015.03.15-12.57.zip

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
     
    CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1498487477-2277533519-3415189630-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR&q={searchTerms}
http://istart.webssearches.com/?type=hp&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR
HKU\S-1-5-21-1498487477-2277533519-3415189630-1000\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://mail.yandex.ru/?win=155&clid=47355
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1498487477-2277533519-3415189630-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR&q={searchTerms}
Toolbar: HKU\S-1-5-21-1498487477-2277533519-3415189630-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
FF HKU\S-1-5-21-1498487477-2277533519-3415189630-1000\...\Firefox\Extensions: [{4C221D56-A54A-A548-2CE6-322758891EDC}] - C:\Program Files (x86)\ver3BlockAndSurf\180.xpi
FF Extension: BlockAndSurf - C:\Program Files (x86)\ver3BlockAndSurf\180.xpi [2014-10-19]
CHR HomePage: Default -> hxxp://istart.webssearches.com/?type=hp&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR
CHR StartupUrls: Default -> "hxxp://istart.webssearches.com/?type=hp&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR"
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2014-09-02]
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2015-03-09]
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-01-18]
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2015-01-17]
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-09-02]
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
StartMenuInternet: Google Chrome.XKGWXPWJPQ4M2DT7Y7TOTCRDUQ - C:\Users\Admin\AppData\Local\Google\Chrome\Application\chrome.exe http://istart.webssearches.com/?type=sc&ts=1413742754&from=obw&uid=ST9320423AS_5VH41LDR
2015-03-12 13:40 - 2015-03-14 00:10 - 00000000 ___HD () C:\Users\Admin\AppData\Roaming\DA969B95
Reboot:
  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр КС
      Зашифровались файлы на компе и на сетевом диске.
      Автор Александр КС
      Здравствуйте. Столкнулись с шифровальщиком. 1 компьютер остался включенным на майские праздники. Судя по дате изменения файлов 4 дня зашифровывались файлы и он перекинулся на сетевой диск. 5 мая утром он начал шифровать файлы и на других компьютерах, после их включения. После отключения 1 компьютера от сети шифрование по сети остановилось. Антивирус увидел, что файл morgan.exe начал менять уже .exe файлы и был удален. Был отформатирован диск С и установлена новая windows. Но тысячи файлов остались зашифрованными. Логи, зараженные файлы и записку от злоумышленника прилагаю.
      Зашифрованные файлы и записка.rar Addition.txt FRST.txt
    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Зашифровали компьютер
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
    • alexchernobylov
      Зашифровали диски на уровне разделов
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


    • sss28.05.2025
      Зашифрованы BitLocker не системные диски/
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
×
×
  • Создать...