Перейти к содержанию

Вирус зашифровал файлы с расширением .iw8


Рекомендуемые сообщения

Текст сообщения 

!!!Your files have been encrypted!!!
To recover them, please contact us via email:
Write the ID in the email subject

ID: E3EA701E87735CC1E8DD980E923F89D4

Email 1: Datablack0068@gmail.com
Email 2: Datablack0068@cyberfear.com
Telegram: @Datablack0068


To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.

IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.

Ссылка на комментарий
Поделиться на другие сайты

Добавьте необходимые файлы (несколько зашифрованных файлов+записку о выкупе) и логи (FRST.txt и Addition.txt),

согласно правилам:

«Порядок оформления запроса о помощи».

Ссылка на комментарий
Поделиться на другие сайты

Скрипты ваши?

C:\scripts\DellAll.ps1

 

Файл Stub.exe - если был удален, восстановите из карантина, заархивируйте с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание архива здесь. (после загрузки архива, файл можно удалить)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

файл загружен и ссылка удалена

C:\scripts\DellAll.ps1 Да мои

Изменено пользователем safety
файл загружен и ссылка удалена
Ссылка на комментарий
Поделиться на другие сайты

8 минут назад, specxpilot сказал:

файл загружен и ссылка удалена

Результат проверки.

https://www.virustotal.com/gui/file/da3b1b6ab8155278791b2ec34c511b3c47e1d36eb8fafff4e0f170550c5e4a1a

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
2024-12-30 01:22 - 2024-12-30 01:22 - 003977846 _____ C:\ProgramData\E3EA701E87735CC1E8DD980E923F89D4.bmp
2024-12-30 01:12 - 2024-12-30 01:12 - 000000486 _____ C:\Users\Администратор\#HowToRecover.txt
2024-12-30 01:12 - 2024-12-30 01:12 - 000000486 _____ C:\Users\Наиля\Downloads\#HowToRecover.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • SatanicPanzer
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
    • Evgeniy Alekseevich
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • orbita06
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • zsvnet
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
    • MirTa
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
×
×
  • Создать...