Перейти к содержанию

ВНИМАНИЕ!Все важные фйлы на всех дисках вашего компьютера были зашифрованы.

Покровский Георгий

Автор Покровский Георгий
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Покровский Георгий Новичок

Покровский Георгий

Опубликовано
Опубликовано

Доброго времени суток. Сегодня вышел чёрный экран с надписью: ВНИМАНИЕ! Все важные файлы на всех дисках вашего компьютера были зашифрованы.Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков. В READMЕ написано:Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код:76A5E0134EC59B8D0205|0 на электроный адрес decode0001@gmail.com или decode00002@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

Помогите незнаю что делать.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

 

 


и за грубейшую ошибку в теме "кАмьпютера".

исправил.


Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\users\adminy~1\appdata\local\mail.ru\gamece~1\gamece~1.exe');
 TerminateProcessByName('c:\progra~2\steam\steamerrorreporter.exe');
 QuarantineFile('c:\users\adminy~1\appdata\local\temp\3582-490\backgr~1.exe','');
 QuarantineFile('c:\users\adminy~1\appdata\local\mail.ru\gamece~1\gamece~1.exe','');
 QuarantineFile('c:\progra~2\steam\steamerrorreporter.exe','');
 QuarantineFile('C:\Program Files (x86)\advPlugin\*','');
 QuarantineFile('C:\Windows\system32\drivers\57CB595359.sys','');
 QuarantineFile('C:\Windows\system32\drivers\592D33B56B.sys','');
 QuarantineFile('C:\Program Files (x86)\MyPC Backup.exe','');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\*','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\*','');
 QuarantineFile('C:\Users\ADMIN YA\AppData\Local\Amigo\*','');
 QuarantineFile('C:\Users\ADMIN YA\AppData\Roaming\E2290922\bin.exe','');
 QuarantineFile('C:\Users\ADMIN YA\AppData\Local\iLivid\*','');
 QuarantineFile('C:\Users\ADMIN YA\AppData\Local\Kometa\*','');
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Users\ADMINY~1\AppData\Local\Temp\3582-490\DLLFixer.exe','');
 QuarantineFile('C:\Users\ADMIN YA\appdata\roaming\ssleas.exe','');
 QuarantineFile('C:\Users\ADMIN YA\appdata\local\systemdir\nethost.exe','');
 QuarantineFile('c:\windows\svchost.com','');
 DeleteFile('C:\Windows\svchost.com','32');
 DeleteFile('C:\Users\ADMIN YA\appdata\roaming\ssleas.exe','32');
 DeleteFileMask('C:\Program Files (x86)\advPlugin\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\advPlugin\',' ');
 DeleteFile('C:\Windows\system32\Tasks\_MONTHLY','64');
 DeleteFile('C:\Users\ADMINY~1\AppData\Local\Temp\3582-490\DLLFixer.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\_UPDATES','64');
 DeleteFile('C:\Windows\system32\Tasks\RDReminder','64');
 DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
 DeleteFile('C:\Users\ADMIN YA\AppData\Local\SystemDir\nethost.exe','32');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
 DeleteFile('C:\Windows\Tasks\_UPDATES.job','64');
 DeleteFile('C:\Windows\Tasks\_MONTHLY.job','64');
 DeleteFileMask('C:\Users\ADMIN YA\AppData\Local\Kometa\','*', true, '');
 DeleteDirectory('C:\Users\ADMIN YA\AppData\Local\Kometa\',' ');
 DeleteFileMask('C:\Users\ADMIN YA\AppData\Local\Amigo\','*', true, '');
 DeleteDirectory('C:\Users\ADMIN YA\AppData\Local\Amigo\',' ');
 DeleteFileMask('C:\Users\ADMIN YA\AppData\Local\iLivid\','*', true, '');
 DeleteDirectory('C:\Users\ADMIN YA\AppData\Local\iLivid\ ',' ');
 DeleteFile('C:\Users\ADMIN YA\AppData\Roaming\E2290922\bin.exe','32');
 DeleteFileMask('C:\Program Files (x86)\Zaxar\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\Zaxar\ ',' ');
 DeleteFileMask('C:\Program Files (x86)\Kinoroom Browser\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\Kinoroom Browser\',' ');
 DeleteFile('C:\Program Files (x86)\MyPC Backup.exe','32');
 DeleteFile('c:\progra~2\steam\steamerrorreporter.exe','32');
 DeleteFile('c:\users\adminy~1\appdata\local\temp\3582-490\backgr~1.exe','32');
 DelBHO('1FE48F08-A2AC-44AC-A21C-0556D91C50DA');
 DelBHO('7CE987D5-11B3-44FC-9C3D-03069360D462');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aimkeejnqa');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','iLivid');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','E2290922');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Сделайте новые логи по правилам (только пункт 3).
 
+
логи FRST и AdwCleraner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

Ссылка на комментарий
Поделиться на другие сайты
Покровский Георгий Новичок

Покровский Георгий

Опубликовано
  • Автор
Опубликовано

Зарегистрировался на My Kaspersky карантин весит 23 мб не могу отправить что делать?


Пункт 3

CollectionLog-2015.03.25-20.42.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

У Вас там еще и файловый вирус разгуливает.

 

Пролечитесь http://support.kaspersky.ru/viruses/rescuedisk (скачивать и записывать образ на диск на другой, чистой от вирусов машине)

 

По окончании - новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

 

 


Странствующий хелпер, там только статьи, где качать?
Меню слева Работа с программой. Там и найдете в одной из статей

 

Все остальные логи на данный момент бесполезны и не будут рассмотрены

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Зашифровали компьютер
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
    • alexchernobylov
      Зашифровали диски на уровне разделов
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


    • sss28.05.2025
      Зашифрованы BitLocker не системные диски/
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
    • Alkart1975
      Зашифровали диск с данными српедствами BitLocker
      Автор Alkart1975
      Здравствуйте.
      Зловред зашифровал битлокером несистемный диск. Злоумышленники просят выкуп на почту davidblaine@mail2world.com и bitlockerlock.unlock@gmail.com
      С диска С удалены файлы баз данных и документы. На компьютере несколько пользователей. 
      На рабочем столе одного из пользователей оставлен файл PLEASE READ с требованием оплаты.
      Прошу помощи. Возможно ли расшифровать диск? Или восстановить файлы баз данных 1С. 
      Addition.txt FRST.txt PLEASE READ.txt
×
×
  • Создать...