Перейти к содержанию

Ваши файлы были зашифрованы. xtbl

Камиль
 Share

Рекомендуемые сообщения

Камиль Новичок

Камиль

Опубликовано
Опубликовано

Ситуация похожая: красные буквы на черном рабочем столе: Внимание! Все важные файлы были зашифрованы. Подробности вы можете прочитать в файлах readme.txt которые можно найти на любом из дисков.


Содержание файла редми : Ваши файлы были зашифрованы.Чтобы расшифровать их, Вам необходимо отправить код:
3427BE328AC29C376B84|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Ссылка на зашифр вайлы:
https://yadi.sk/d/KhRKzLDxgzhHy
https://yadi.sk/d/Piw6D4H8gzhJL
https://yadi.sk/d/8HnC-OlvgzhHm


Файлы логов прилагаю. Прошу помощи в расшифровке. Спасибо.

CollectionLog-2015.06.01-18.09.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Windows\system32\zCtnVaw.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\newSI_10\s_inst.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\newSI_8\s_inst.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\newSI_2\s_inst.exe','');
 DeleteService('screentk');
 DeleteService('BDSafeBrowser');
 DeleteService('BDMWrench');
 DeleteService('BDDefense');
 DeleteService('BDArKit');
 DeleteService('bd0004');
 DeleteService('bd0003');
 DeleteService('bd0002');
 DeleteService('bd0001');
 DeleteService('BDSGRTP');
 DeleteService('BDKVRTP');
 DeleteService('BaiduHips');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe','32');
 DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BaiduSdSvc.exe','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.602\BaiduProtect.exe','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDDefense.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidusdTray','command');
 DeleteFile('C:\Users\1\AppData\Roaming\newSI_2\s_inst.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\newSI_8\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\newSI_2.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_8.job','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1.bak','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2.bak','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3.bak','32');
 DeleteFile('C:\Users\1\AppData\Roaming\newSI_10\s_inst.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_10.bak','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_2','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_8','32');
 DeleteFile('C:\Windows\system32\Tasks\zCtnVaw.bak','32');
 DeleteFile('C:\Windows\system32\zCtnVaw.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
Сделайте новые логи Автологгером. 
 
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Andrei Butyrchyk
      Зашифрованы файлы с расширением .mammn
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
    • Лариса B
      King зашифровал файлы организации
      От Лариса B
      Добрый день!
      В локальную сеть попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      К сожалению пока не удалось понять, как он попал и где нахоится источник(. 
      Но сегодня  ночью, по времени - все файлы  оказались зашифрованы. 

      Прикладывают  файлы, согласно правилам зашифрованные файлы + требования.rar

      Подскажите пож-та 
      1. Как найти источник   заражения, сам шифровальщик, какие есть методы 
      2. Как можно дешифровать  данные файлы 
       
      Спасибо большое!
    • specxpilot
      Вирус зашифровал файлы с расширением .iw8
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • hobbit86
      King Ransomware зашифровал файлы организации
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • ALFGreat
      Шифровальщик BitLocker зашифровал все диски и файлы.
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
×
×
  • Создать...