Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик Demetro9990@cock.li

Пользователь Владимир

Автор Пользователь Владимир
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Пользователь Владимир

Пользователь Владимир

Опубликовано
Опубликовано (изменено)

Доброго дня.

На компьютере большинство файлов сменили расширение, в конце дописано Demetro9990@cock.li

После поиска информации в интернете выяснил что шифровальщик.

Прошу вашей помощи в расшифровке и удалению программы с ПК.

Примеры файлов в архиве, текстовый сообщение от вымогателей.

README.txt зашифрован.rar Addition.txt FRST.txt

Изменено пользователем Пользователь Владимир
опечатки
safety

safety

Опубликовано
Опубликовано

Содержимое этой папки покажите

2024-12-11 03:11 - 2024-12-12 03:52 - 000000000 ____D C:\temp

 

Пользователь Владимир

Пользователь Владимир

Опубликовано
  • Автор
Опубликовано
7 часов назад, safety сказал:

Содержимое этой папки покажите

2024-12-11 03:11 - 2024-12-12 03:52 - 000000000 ____D C:\temp

 

там один файл session.tmp создан 11.12.2024

 

7 часов назад, safety сказал:

Содержимое этой папки покажите

2024-12-11 03:11 - 2024-12-12 03:52 - 000000000 ____D C:\temp

 

не могу отправить вам личное сообщение.

хотел поделиться ссылкой на архив с файлами, которые обнаружил на ПК. Если вам что то скажет GoldBrute и FIX и немного текстовых файлов

safety

safety

Опубликовано
Опубликовано (изменено)
9 минут назад, Пользователь Владимир сказал:

хотел поделиться ссылкой на архив с файлами, которые обнаружил на ПК. Если вам что то скажет GoldBrute и FIX и немного текстовых файлов

Архив с паролем virus загрузите на облачный диск и дайте ссылку на скачивание  здесь, в вашем сообщении.

-------------

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKLM\...\Run: [PIDAR.exe] => notepad.exe "C:\Users\admasu\AppData\Local\README.txt" (Нет файла)
HKLM-x32\...\Run: [K7TSStart] => "C:\Program Files (x86)\K7 Computing\K7TSecurity\K7TSecurity.exe" (Нет файла)
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-12-11 03:11 - 2024-12-12 03:52 - 000000000 ____D C:\temp
2024-12-12 04:02 - 2023-10-21 01:21 - 000000000 __SHD C:\Users\admasu\AppData\Local\3F4FFA8F-24F8-6F78-A0DA-370314484853
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Пользователь Владимир

Пользователь Владимир

Опубликовано
  • Автор
Опубликовано (изменено)
1 час назад, safety сказал:

Архив с паролем virus загрузите на облачный диск и дайте ссылку на скачивание  здесь, в вашем сообщении.

-------------

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKLM\...\Run: [PIDAR.exe] => notepad.exe "C:\Users\admasu\AppData\Local\README.txt" (Нет файла)
HKLM-x32\...\Run: [K7TSStart] => "C:\Program Files (x86)\K7 Computing\K7TSecurity\K7TSecurity.exe" (Нет файла)
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-12-11 03:11 - 2024-12-12 03:52 - 000000000 ____D C:\temp
2024-12-12 04:02 - 2023-10-21 01:21 - 000000000 __SHD C:\Users\admasu\AppData\Local\3F4FFA8F-24F8-6F78-A0DA-370314484853
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

вот ссылка на файлы Quarantine и вот ссылка на файлы, пароли одинаковые

Fixlog.txt

Изменено пользователем safety
ссылку на инструменты стер
  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано (изменено)
57 минут назад, Пользователь Владимир сказал:

вот ссылка на файлы, пароли одинаковые

здесь инструменты злоумышленника для брута учетных записей + файлы паролей -словари, которые он использует для брута.

 

В системе есть остатки от антивируса Pro32, можно воспользоваться удалением всех остатков в помощью штатной утилиты.

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа. (Который только у злоумышленников)

Изменено пользователем safety
Пользователь Владимир

Пользователь Владимир

Опубликовано
  • Автор
Опубликовано
34 минуты назад, safety сказал:

здесь инструменты злоумышленника для брута учетных записей + файлы паролей -словари, которые он использует для брута.

 

В системе есть остатки от антивируса Pro32, можно воспользоваться удалением всех остатков в помощью штатной утилиты.

 

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа. (Который только у злоумышленников)

понял вас, и на этом спасибо.

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Tangous
      Снова... Зашифровали файлы и требуют выкуп.
      Автор Tangous
      Помогите пож.
      Проекты САМ и САД. Работа последних лет.
       
      Addition.txt FRST.txt sample_vir.zip
    • Ladomir
      Шифровальщик .s25ultra1tb-jz3Zxkv2kRluRJ3YFRHJdz8IKvrk3Q9U3W5Wm_kkF2Y
      Автор Ladomir
      добрый не добрый день! Помогите пожалкйста расшифровать хотя бы БД от 1с. Утром проснулись - все на компе заменено расширением с этим файлом. Прикрепляю примеры! Пожалуйста помогите


      примеры.rar
    • СИСТЕМЩИК
      Зашифровались файлы с расширением ELPY
      Автор СИСТЕМЩИК
      Зашифровались файлы. Прошу помочь
      FRST.txt Зашифрованные файлы(virus).xlsx.rar
    • Лëха
      Шифровальщик ELPY
      Автор Лëха
      Добрый день.
      Прошу помочь, у меня также шифровальщик ELPY. Первый обнаруженный ПК был заражен 13.01.2026 в промежуток с 1 до 4 часов ночи. По нему пока кроме фото информации никакой дать не могу, нет доступа к ПК (только завтра). Второй ПК был обнаружен на днях, но зашифрован он частично также 13 числа в тот же промежуток времени, проверка антивирусом ничего не нашла, ПК работает в штатном режиме. На первом ПК, если я запущу FRST проверку, на на USB накопителе не перенесу вирус на другую машину для оправки результатов сканирования? Какие мои дальнейшие действия? За ранее спасибо.

    • albeg
      По всей видимости тоже elpy
      Автор albeg
      Добрый день
      помогите пожалуйста по всей видимости тоже elpy, через RDP 24.01
      Логи FRST, примеры файлов , записку прикрепил.
      Заранее благодарен
      123_2.jpg.zip DECRYPT_FILES.txt Addition.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...