Перейти к содержанию

Шифровальщик с расширением LOQ

Дмитрий Борисович

От Дмитрий Борисович
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Дмитрий Борисович Новичок

Дмитрий Борисович

Опубликовано
Опубликовано

Приветствую!

8 декабря, примерно в 20 часов была замечена активность шифровальщика.

Выявлено шифрование файлов на всех активных компьютерах сети.

Зашифрованные файлы с расширением - .loq

В корне диска C:\ найден файл с раширением .txt следующего содержания:

 

All Your Files Are Locked And Important Data Downloaded !


Your Files Are No Longer Accessible Don't Waste Your Time, Without Our Decryption Program Nobody Can't Help You .

If Payment Isn't Made After A While We Will Sell OR Publish Some Of Your Data . You Don't Have Much Time!


Your ID : HFXGT

If You Want To Restore Them Email Us : Evo.team1992@gmail.com

If You Do Not Receive A Response Within 24 Hours, Send A Message To Our Second Email : Qqq113168@gmail.com

To Decrypt Your Files You Need Buy Our Special Decrypter In Bitcoin .

Every Day The Delay Increases The Price !! The Decryption Price Depends On How Fast You Write To Us Email.

We Deliver The Decryptor Immediately After Payment , Please Write Your System ID In The Subject Of Your E-mail.

What is the guarantee !

Before Payment You Can Send Some Files For Decryption Test.

If We Do Not Fulfill Our Obligations, No One Does Business With Us , Our Reputation Is Important To Us 
It's Just Business To Get Benefits.

===============================================================================

Attention !

Do Not Rename,Modify Encrypted Files .

Do Not Try To Recover Files With Free Decryptors Or Third-Party Programs And Antivirus Solutions Because 

It May Make Decryption Harder Or Destroy Your Files Forever !

===============================================================================

Buy Bitcoin !

https://www.kraken.com/learn/buy-bitcoin-btc

https://www.coinbase.com/how-to-buy/bitcoin

 

 

Архив.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Цитата

2024-12-08 22:10 - 2024-12-08 22:10 - 000004201 _____ C:\Users\Бухгалтер1\AppData\S-inf.sys
2024-12-08 22:10 - 2024-12-08 22:10 - 000003460 _____ C:\Users\Бухгалтер1\AppData\N-Save.sys
2024-12-08 22:10 - 2024-12-08 22:10 - 000001340 _____ C:\Users\Бухгалтер1\AppData\S-6748.bat
2024-12-08 22:10 - 2024-12-08 22:10 - 000000686 _____ C:\Users\Бухгалтер1\AppData\S-8459.vbs
2024-12-08 22:10 - 2024-12-08 22:10 - 000000417 _____ C:\Users\Бухгалтер1\AppData\SysMain.sys
2024-12-08 22:10 - 2024-12-08 22:10 - 000000138 _____ C:\Users\Бухгалтер1\AppData\S-2153.bat
2024-12-08 22:09 - 2024-02-20 15:54 - 001257984 _____ C:\Users\Бухгалтер1\Desktop\Evo.team1992@gmail.com_Official.exe
2024-12-08 22:09 - 2024-02-20 15:54 - 001257984 _____ C:\Users\Бухгалтер1\Desktop\Evo.team1992@gmail.com_Manual.exe
2024-12-08 22:09 - 2024-02-20 15:53 - 001257984 _____ C:\Users\Бухгалтер1\Desktop\Evo.team1992@gmail.com_Fast.exe

заархивируйте с паролем malware123 и прикрепите архив к следующему сообщению в теме.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

судя по сэмплам Evo.team1992@gmail.com*.exe

Это RCRU64

https://www.virustotal.com/gui/file/11ce7e8787a5177ad0f12ce96fc9ca848f463c4608d935f97d940240453ff00d

--------

Выполните очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
2024-12-09 02:37 - 2024-12-09 02:37 - 000006164 _____ C:\Users\Бухгалтер1\Desktop\ReadMe.hta
2024-12-08 22:14 - 2024-12-08 22:14 - 000001522 _____ C:\Users\Бухгалтер1\Downloads\Restore_Your_Files.txt
2024-12-08 22:14 - 2024-12-08 22:14 - 000001522 _____ C:\Users\Бухгалтер1\Documents\Restore_Your_Files.txt
2024-12-08 22:14 - 2024-12-08 22:14 - 000001522 _____ C:\Users\Бухгалтер1\Desktop\Restore_Your_Files.txt
2024-12-08 22:14 - 2024-12-08 22:14 - 000001522 _____ C:\Users\Бухгалтер1\AppData\Roaming\Restore_Your_Files.txt
2024-12-08 22:14 - 2024-12-08 22:14 - 000001522 _____ C:\Users\Бухгалтер1\AppData\Roaming\Microsoft\Restore_Your_Files.txt
2024-12-08 22:14 - 2024-12-08 22:14 - 000001522 _____ C:\Users\Бухгалтер1\AppData\LocalLow\Restore_Your_Files.txt
2024-12-08 22:13 - 2024-12-08 22:13 - 000001522 _____ C:\Users\Бухгалтер1\Restore_Your_Files.txt
2024-12-08 22:13 - 2024-12-08 22:13 - 000001522 _____ C:\Users\Бухгалтер1\AppData\Restore_Your_Files.txt
2024-12-08 22:13 - 2024-12-08 22:13 - 000001522 _____ C:\Users\Бухгалтер1\AppData\Local\Restore_Your_Files.txt
2024-12-08 22:10 - 2024-12-08 22:10 - 000004201 _____ C:\Users\Бухгалтер1\AppData\S-inf.sys
2024-12-08 22:10 - 2024-12-08 22:10 - 000003460 _____ C:\Users\Бухгалтер1\AppData\N-Save.sys
2024-12-08 22:10 - 2024-12-08 22:10 - 000001340 _____ C:\Users\Бухгалтер1\AppData\S-6748.bat
2024-12-08 22:10 - 2024-12-08 22:10 - 000000686 _____ C:\Users\Бухгалтер1\AppData\S-8459.vbs
2024-12-08 22:10 - 2024-12-08 22:10 - 000000417 _____ C:\Users\Бухгалтер1\AppData\SysMain.sys
2024-12-08 22:10 - 2024-12-08 22:10 - 000000138 _____ C:\Users\Бухгалтер1\AppData\S-2153.bat
2024-12-08 22:09 - 2024-02-20 15:54 - 001257984 _____ C:\Users\Бухгалтер1\Desktop\Evo.team1992@gmail.com_Official.exe
2024-12-08 22:09 - 2024-02-20 15:54 - 001257984 _____ C:\Users\Бухгалтер1\Desktop\Evo.team1992@gmail.com_Manual.exe
2024-12-08 22:09 - 2024-02-20 15:53 - 001257984 _____ C:\Users\Бухгалтер1\Desktop\Evo.team1992@gmail.com_Fast.exe
2024-12-08 22:09 - 2023-01-30 18:42 - 000000031 _____ C:\Users\Бухгалтер1\Desktop\R_cfg.ini
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Юрикс
      Шифровальщик, расширение .A7V3ac
      От Юрикс
      Приветствую всех. Уже прилично как зашифровало файлы. Почтой отправлял данные (сам вирус и шифрованные файлы) в Касперский, но что-то тишина.
      Шифрование похоже на .7Kf9uY и .rOSb1V. Только в сообщении у меня другая ссылка на сайт. А так, вроде и сайт с тем самим видом.
      Внимание! Все Ваши файлы зашифрованы!Чтобы восстановить свои файлы посетите сайт http://plc.2fh.co Если сайт недоступен пишите на plc12@inbox.com Ваш id d9115873 У вас есть 6 попыток ввода кода. При превышении этого  лимита все данные необратимо испортятся. Надеюсь и мне повезёт с расшифровкой.
      Прикладываю шифрованный файл.
      OemInfo.zip.zip
    • Always_Young
      Шифровальщик вымогатель. Расширение .y8ItHTbGJ
      От Always_Young
      Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

      Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip
    • Алексей Шеин
      Файлы зашифрованы шифровальщиком с расширением .yzho
      От Алексей Шеин
      Добрый день.
       
      Зашифровались данные на дисках компьютера, все файлы стали с расширением .yzho кто подскажет, чем можно расшифровать?
      Спасибо.
       
      С уважением,
      Алексей Шеин
       

       
    • talga_mprint
      Неизвестный шифровальщик с расширением файлов .m0D0cQNMb
      От talga_mprint
      Доброго времени суток, нужна помощь в определении или расшифровке файлов.
      В пятницу вечером (070225) на компьютере сотрудника были зашифрованный файлы, предположительно через RDP(!rdp осуществляется через vpn с 2 ключами безопасности).

      Так же присутствует readme файл с email для контактов и выкупа. 
      Addition.txt FRST.txt encrypt-files.rar
      m0D0cQNMb.README.txt
    • Croony
      Через RDP шифровальщик с расширением .frank
      От Croony
      Addition.txt FRST.txt Desktop.zip Frank_Help.txt
×
×
  • Создать...