Перейти к содержанию

Ваши файлы были зашифрованы

Uberdarkk
 Поделиться

Рекомендуемые сообщения

Uberdarkk Новичок

Uberdarkk

Опубликовано
Опубликовано

Словил шифратор.

 

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
B29D9BDEF6BB8F2AD142|0
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

CollectionLog-2015.03.24-15.04.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\storegidfilter.sys','');
QuarantineFile('C:\Users\Boss\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Users\Boss\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\Boss\AppData\Roaming\eTranslator\eTranslator.exe','');
QuarantineFile('C:\Users\Boss\AppData\Roaming\605B78BB\bin.exe','');
QuarantineFile('C:\Users\Boss\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
QuarantineFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe','');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe','32');
DeleteFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','32');
DeleteFile('C:\Users\Boss\AppData\Local\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Users\Boss\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
DeleteFile('C:\Users\Boss\AppData\Roaming\605B78BB\bin.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','605B78BB');
DeleteFile('C:\Users\Boss\AppData\Roaming\eTranslator\eTranslator.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eTranslator Update','command');
DeleteFile('C:\Users\Boss\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\PennyBee.job','64');
DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','64');
DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','64');
DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
DeleteFile('C:\Windows\system32\Tasks\PennyBee','64');
DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
DeleteFile('C:\Users\Boss\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('C:\Windows\storegidfilter.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты
Uberdarkk Новичок

Uberdarkk

Опубликовано
  • Автор
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\storegidfilter.sys','');
QuarantineFile('C:\Users\Boss\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Users\Boss\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\Boss\AppData\Roaming\eTranslator\eTranslator.exe','');
QuarantineFile('C:\Users\Boss\AppData\Roaming\605B78BB\bin.exe','');
QuarantineFile('C:\Users\Boss\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
QuarantineFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe','');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe','32');
DeleteFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','32');
DeleteFile('C:\Users\Boss\AppData\Local\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Users\Boss\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
DeleteFile('C:\Users\Boss\AppData\Roaming\605B78BB\bin.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','605B78BB');
DeleteFile('C:\Users\Boss\AppData\Roaming\eTranslator\eTranslator.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eTranslator Update','command');
DeleteFile('C:\Users\Boss\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\PennyBee.job','64');
DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','64');
DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','64');
DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
DeleteFile('C:\Windows\system32\Tasks\PennyBee','64');
DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
DeleteFile('C:\Users\Boss\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('C:\Windows\storegidfilter.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

 

bin.exe,

kinoroom-browser.exe,

storegidfilter.sys

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

kbupdater-utility.exe - not-a-virus:Downloader.Win32.Agent.dgwb

 

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

 

С уважением, Лаборатория Касперского

 

KLAN-2633460622

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Папки

C:\Users\Boss\AppData\Roaming\605B78BB

C:\ProgramData\Kbupdater Utility
C:\Program Files (x86)\Kinoroom Browser

 

удалите вручную

 

 

С расшифровкой не поможем.

Как вариант, http://virusinfo.info/showthread.php?t=156188

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sanka
      Ваши документы, базы данных и другие файлы были зашифрованы.
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
    • tamerlan
      Зашифровались файлы
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
    • orbita06
      вирус зашифровал файлы
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • robocop1974
      Зашифрованные файлы
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
×
×
  • Создать...