Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

скачал и открыл файл, зашифровались данные

Сергей рнд
 Поделиться

Рекомендуемые сообщения

Сергей рнд

Сергей рнд

Опубликовано
Опубликовано

Добрый день, нужна помощь в расшифровке ,прислали счет на оплату, я даже не понял от кого и естественно открыл,после чего зашифровалось все что было на компе,а на экране вылетело сообщение об оплате,откатывал систему не помогло,сбил виндовс и дальше продолжил работу,однако хотелось бы востановить клиентскую базу)вложу архив с запиской вымогателя,так же могу прикрепиShortcut.txtFRST.txtAddition.txtть почту с которой мне писали.. не понял только как выполнить это действие??вложите в сообщение логи, собранные Farbar Recovery Scan Tool,

максим.rar

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Вижу что систему сканировали с помощью ДрВеб

2024-10-07 12:29 - 2024-10-07 14:11 - 000000000 __SHD C:\DrWeb Quarantine
2024-10-07 12:28 - 2024-10-07 12:30 - 000000000 ____D C:\Users\пк\Doctor Web

Можете предоставить логи сканирования? в архиве, без пароля.

Скрипт очистки для FRST чуть позже добавлю.

-------------

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
(explorer.exe ->) (Beijing Qihu Technology Co., Ltd. -> COM+) [Файл не подписан] C:\Users\пк\AppData\Local\Temp\Rar$EX01.014\Счет на оплату №211 от 1 oктября 2024 года.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-107884332-743715021-2423481097-1000\...\Run: [Firefox Browser] => C:\Firefox\X-Firefox.exe (Нет файла)
HKU\S-1-5-21-107884332-743715021-2423481097-1000\...\Run: [SputnikUpdater.exe] => C:\Users\пк\AppData\Local\Temp\Rar$EX01.014\Счет на оплату №211 от 1 oктября 2024 года.exe [1802832 2024-10-01] (Beijing Qihu Technology Co., Ltd. -> COM+) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\пк\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0vZ0LBOq2.README.txt [2024-10-07] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 WinRing0_1_2_0; \??\C:\Users\пк\AppData\Local\Temp\tmp979D.tmp [X] <==== ВНИМАНИЕ
2024-10-07 11:07 - 2024-10-07 11:07 - 002592054 _____ C:\ProgramData\0vZ0LBOq2.bmp
2024-10-07 10:54 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\AppData\LocalLow\0vZ0LBOq2.README.txt
2024-10-07 10:54 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\AppData\Local\0vZ0LBOq2.README.txt
2024-10-07 10:48 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\AppData\Roaming\0vZ0LBOq2.README.txt
2024-10-07 10:48 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\AppData\0vZ0LBOq2.README.txt
2024-10-07 10:46 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\Documents\0vZ0LBOq2.README.txt
2024-10-07 10:44 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\Downloads\0vZ0LBOq2.README.txt
2024-10-07 10:44 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\0vZ0LBOq2.README.txt
2024-10-07 10:43 - 2024-10-07 10:43 - 000001852 _____ C:\Users\0vZ0LBOq2.README.txt
Reboot::
End::

 

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Сергей рнд

Сергей рнд

Опубликовано
  • Автор
Опубликовано

добрый день, скорее всего нет((так как у меня доктор вэб был установлен в момент поражения либо после,,,но из за того что вылетало окно с оплатой мне пришлось сбить виндовс ,и установить все заново ,уцелел только диск D на котором вся нужная мне информация

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

т.е. логи FRST вы сделали до переустановки системы? правильно я понял? судя по датам - шифрование было еще в октябре 2024 года.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Можно отложить в архив важные зашифрованные документы, возможно когда-нибудь room155,  в качестве жеста доброй воли, выложат приватные ключи для всех своих жертв, которых уже сотня наберется за два года их активности.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Виталий__-
      Скачал Винду на компьютер, но не знаю какие драйвера нужно скачать
      Автор Виталий__-
      Только что установил Винду, в центре обновления Виндоус все установил, в диспетчере устройств было 2 неизвестных устройства, на них я скачал драйвера, а на чипсет как? Материнская плата h610m h v3 ddr4 gygabite. На оф сайте на чипсет 10 драйверов, их все качать надо? (Фото снизу). Помните пж

    • Vasikir
      Не могу открыть regedit (0xc0000017)
      Автор Vasikir
      Не уверен насчёт причины. Также были взломаны аккаунты telegram, discord, steam, google
      CollectionLog-2025.07.05-15.14.zip
    • Lingon
      Файлы зашифрованы с расширением .ant_dec
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • Alkart1975
      Зашифровали диск с данными српедствами BitLocker
      Автор Alkart1975
      Здравствуйте.
      Зловред зашифровал битлокером несистемный диск. Злоумышленники просят выкуп на почту davidblaine@mail2world.com и bitlockerlock.unlock@gmail.com
      С диска С удалены файлы баз данных и документы. На компьютере несколько пользователей. 
      На рабочем столе одного из пользователей оставлен файл PLEASE READ с требованием оплаты.
      Прошу помощи. Возможно ли расшифровать диск? Или восстановить файлы баз данных 1С. 
      Addition.txt FRST.txt PLEASE READ.txt
×
×
  • Создать...