Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

скачал и открыл файл, зашифровались данные

Сергей рнд
 Поделиться

Рекомендуемые сообщения

Сергей рнд

Сергей рнд

Опубликовано
Опубликовано

Добрый день, нужна помощь в расшифровке ,прислали счет на оплату, я даже не понял от кого и естественно открыл,после чего зашифровалось все что было на компе,а на экране вылетело сообщение об оплате,откатывал систему не помогло,сбил виндовс и дальше продолжил работу,однако хотелось бы востановить клиентскую базу)вложу архив с запиской вымогателя,так же могу прикрепиShortcut.txtFRST.txtAddition.txtть почту с которой мне писали.. не понял только как выполнить это действие??вложите в сообщение логи, собранные Farbar Recovery Scan Tool,

максим.rar

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Вижу что систему сканировали с помощью ДрВеб

2024-10-07 12:29 - 2024-10-07 14:11 - 000000000 __SHD C:\DrWeb Quarantine
2024-10-07 12:28 - 2024-10-07 12:30 - 000000000 ____D C:\Users\пк\Doctor Web

Можете предоставить логи сканирования? в архиве, без пароля.

Скрипт очистки для FRST чуть позже добавлю.

-------------

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
(explorer.exe ->) (Beijing Qihu Technology Co., Ltd. -> COM+) [Файл не подписан] C:\Users\пк\AppData\Local\Temp\Rar$EX01.014\Счет на оплату №211 от 1 oктября 2024 года.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-107884332-743715021-2423481097-1000\...\Run: [Firefox Browser] => C:\Firefox\X-Firefox.exe (Нет файла)
HKU\S-1-5-21-107884332-743715021-2423481097-1000\...\Run: [SputnikUpdater.exe] => C:\Users\пк\AppData\Local\Temp\Rar$EX01.014\Счет на оплату №211 от 1 oктября 2024 года.exe [1802832 2024-10-01] (Beijing Qihu Technology Co., Ltd. -> COM+) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\пк\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0vZ0LBOq2.README.txt [2024-10-07] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 WinRing0_1_2_0; \??\C:\Users\пк\AppData\Local\Temp\tmp979D.tmp [X] <==== ВНИМАНИЕ
2024-10-07 11:07 - 2024-10-07 11:07 - 002592054 _____ C:\ProgramData\0vZ0LBOq2.bmp
2024-10-07 10:54 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\AppData\LocalLow\0vZ0LBOq2.README.txt
2024-10-07 10:54 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\AppData\Local\0vZ0LBOq2.README.txt
2024-10-07 10:48 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\AppData\Roaming\0vZ0LBOq2.README.txt
2024-10-07 10:48 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\AppData\0vZ0LBOq2.README.txt
2024-10-07 10:46 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\Documents\0vZ0LBOq2.README.txt
2024-10-07 10:44 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\Downloads\0vZ0LBOq2.README.txt
2024-10-07 10:44 - 2024-10-07 10:43 - 000001852 _____ C:\Users\пк\0vZ0LBOq2.README.txt
2024-10-07 10:43 - 2024-10-07 10:43 - 000001852 _____ C:\Users\0vZ0LBOq2.README.txt
Reboot::
End::

 

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Сергей рнд

Сергей рнд

Опубликовано
  • Автор
Опубликовано

добрый день, скорее всего нет((так как у меня доктор вэб был установлен в момент поражения либо после,,,но из за того что вылетало окно с оплатой мне пришлось сбить виндовс ,и установить все заново ,уцелел только диск D на котором вся нужная мне информация

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

т.е. логи FRST вы сделали до переустановки системы? правильно я понял? судя по датам - шифрование было еще в октябре 2024 года.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Можно отложить в архив важные зашифрованные документы, возможно когда-нибудь room155,  в качестве жеста доброй воли, выложат приватные ключи для всех своих жертв, которых уже сотня наберется за два года их активности.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Vasikir
      Не могу открыть regedit (0xc0000017)
      Автор Vasikir
      Не уверен насчёт причины. Также были взломаны аккаунты telegram, discord, steam, google
      CollectionLog-2025.07.05-15.14.zip
    • Alkart1975
      Зашифровали диск с данными српедствами BitLocker
      Автор Alkart1975
      Здравствуйте.
      Зловред зашифровал битлокером несистемный диск. Злоумышленники просят выкуп на почту davidblaine@mail2world.com и bitlockerlock.unlock@gmail.com
      С диска С удалены файлы баз данных и документы. На компьютере несколько пользователей. 
      На рабочем столе одного из пользователей оставлен файл PLEASE READ с требованием оплаты.
      Прошу помощи. Возможно ли расшифровать диск? Или восстановить файлы баз данных 1С. 
      Addition.txt FRST.txt PLEASE READ.txt
    • sanka
      Ваши документы, базы данных и другие файлы были зашифрованы.
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
    • gulyeza
      [РЕШЕНО] Скачал и запустил Trojan
      Автор gulyeza
      Здравствуйте, вчера умудрился попостятся на троян. Если рассказывать кратко, качал зип архив с UploadHeaven, но начались перебросы по ссылкам и по итогу скачался exe файл. Сразу закинуть его в проверку ума не хватило, да и повода сомневается не было, очень много в свое время оттуда качал, вот и подумал, может у них обновление какое то, что распаковщик теперь такой. Но стоило только открыть, сразу антивирус начал всю систему грузить, начал пытаться закрывать, но только через диспетчер смог. Так же в диспетчере появились 3 новые процесса, 1 из которых не запомнил, а остальные 2 были: reason cybersecurite и reason cybersecurite vpn. Начал через параметры их удалять, так то даже получилось. Затем зашел в виндоус дефендер, он как то странно тупил, подгружался постоянно, через пару секунд вообще выключился. Ну я и нажал снова включить, как я понял, это и была главная ошибка, потому что высветилось окно подтверждения с изменением файлов (стандартное когда запускаешь антивирусник) я и нажал на "Да". На первый взгляд вообще ничего не поменялось, подумал что пора винду сносить. Все переустановил, правда не с внешнего накопителя, а локально, с этого же ноута. И есть подозрения, что особо красок не поменяло, потому что при заходе в дефендер пишет, мол "Ваш системный администратор ограничил доступ", пытался это выключить по гайдам на сайте майкрасофта, ничего не сработало. Подумал надо и биос сбросить, зашел потыкался, не особо понял поменялось ли вообще что то.
      Прикладываю скан того exe с вирус тотала:
      Так же файл с логами:CollectionLog-2025.06.22-19.56.zip
      Еще, после сбора логов, эта надпись "Ваш системный администратор ограничил доступ" в дефендере пропала, не знаю хорошо это или плохо.
      Заранее Спасибо за ответ, надеюсь проблема решаема.
      upd: после сброса винды, запускал скан доктор веба, ничего не нашел
    • SatanicPanzer
      Файлы зашифрованы с расширением Encrypted
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
×
×
  • Создать...