Перейти к содержанию

Поймал шифровальщик, помогите!!!

Дмитрий Екатеринбург

Автор Дмитрий Екатеринбург
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Дмитрий Екатеринбург

Дмитрий Екатеринбург

Опубликовано
Опубликовано

Доброго дня. Вчера намотал шифровальщик. Вот текст что в текстовом файле-

\\\\ All your files are encrypted... All your files have been encrypted !!! To decrypt them send e-mail to this address : nullhex@2mail.co If you do not receive a response within 24 hours, Send a TOX message Mail2 : nullhexxx@gmail.com INCASE OF NO PAYMENT IN 48 HOURS, THE PRICE WILL DOUBLE !! \\\\ Your ID : !!!!!!  Enter the ID of your files in the subject ! \\\\ What is our decryption guarantee ? Before paying you can send us up to 2 test files for free decryption ! The total size of files must be less than 2Mb.(non archived) ! Files should not contain valuable information.(databases,backups) ! Compress the file with zip or 7zip or rar compression programs and send it to us!

 

Верю, что мир не без добрых людей. 

safety

safety

Опубликовано
Опубликовано

Добавьте несколько зашифрованных файлов + записку о выкупе, в одном архиве без пароля

+

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Если система была переустановлена, то предупредите консультантов в своей теме об этом.

Дмитрий Екатеринбург

Дмитрий Екатеринбург

Опубликовано
  • Автор
Опубликовано (изменено)

Записка выше. файлы в архиве. Система (ОС) не изменена в целом.

1.zip Addition.txt

Изменено пользователем Дмитрий Екатеринбург
safety

safety

Опубликовано
Опубликовано

Записка нужна в виде файла, с оригинальным названием без изменений.

Логи FRST необходимы полные: FRST.txt и Addition.txt

Дмитрий Екатеринбург

Дмитрий Екатеринбург

Опубликовано
  • Автор
Опубликовано (изменено)

READ-ME.txt

FRST.txt

Изменено пользователем Дмитрий Екатеринбург
safety

safety

Опубликовано
Опубликовано (изменено)

Это что у вас?

2026-02-07 12:27 - 2026-02-07 12:24 - 283741928 _____ C:\Users\Greenchik.AMBUK\Desktop\khiafsdr.exe

Если систему сканировали KVRT, Cureit или штатным антивирусом, добавьте отчеты о сканировании в архиве, без пароля

+

поищите на системном диске папку Pictures\HEX

Если папка найдется, заархивируйте папку с паролем virus, загрузите на облачный диск, и дайте ссылку на загрузку.

 

 

Изменено пользователем safety
Дмитрий Екатеринбург

Дмитрий Екатеринбург

Опубликовано
  • Автор
Опубликовано (изменено)

Архив загружен ссылка удалена.

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано


 

Цитата

 

Это что у вас?

2026-02-07 12:27 - 2026-02-07 12:24 - 283741928 _____ C:\Users\Greenchik.AMBUK\Desktop\khiafsdr.exe

 

?

Цитата

Если систему сканировали KVRT, Cureit или штатным антивирусом, добавьте отчеты о сканировании в архиве, без пароля

?

Pictures\HEX

Покажите содержимое всей папки Pictures

safety

safety

Опубликовано
Опубликовано

Всю папку Pictures заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание

 

по файлу из папки Pictures\HEX

nullhex@2mail.co.exe   - сэмпл шифровальщика заражен вирусом

https://www.virustotal.com/gui/file/f3b85f0d416dc4b20a8857b5717fb894edd74cbe1bf240a51b259b8367e4977c/detection

 

Проверьте систему KVRT или Cureit,добавьте логи сканирования в архиве без пароля.

safety

safety

Опубликовано
Опубликовано (изменено)

Kryptex сами ставили?

F:\Users\Greenchik.AMBUK\Downloads\kryptex-setup-4.32.7.exe - infected - 26ms, 64539920 bytes

 

По очистке системы в FRST

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
2026-02-07 12:27 - 2026-02-07 12:24 - 283741928 _____ C:\Users\Greenchik.AMBUK\Desktop\khiafsdr.exe
2026-02-07 00:05 - 2026-02-07 00:05 - 011059254 _____ C:\ProgramData\Eclipse.bmp
2026-02-06 23:57 - 2026-02-06 23:57 - 000000736 _____ C:\Windows\sysinfo01.bios
F:\Users\Greenchik.AMBUK\Pictures\hex\
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • TAMZAN
      Нужна помощь, заражён сервер и несколько пк Вирусом вымогателем
      Автор TAMZAN
      FRST.txtAddition.txt
      Добрый день утром запустили пк, а на рабочих столах вот такое сообщение с вымогателем, нужна помощь в очистке системы и возможности в дальнейшем в расшифровке файлов. Спасибо
      svr2 logi frst.rar
      SVR2_2026-02-14_15-08-15_v5.0.3v x64.7z
    • gggPlu
      Шифровальщик на windows server 2008 r2
      Автор gggPlu
      Добрый день. Сегодня утром обнаружили, что за выходные нам зашифровали сервер. Прикладываю архив с паролем virus с примерами зашифрованных файлов и письмом о выкупе и результаты сканирования. Прошу помощи с очисткой и расшифровкой
      Addition.txt FRST.txt virus.rar
    • Antio
      Зашифровало компьютер
      Автор Antio
      Переустановил windows и поставил программы, после этого диски оказались зашифрованными.
      Addition.txt лог FRST
      В архиве зашифрованные файлы и требование о выкупе.
       
       
      Помогите расшифровать данные.
      FRST.txt pack.zip
    • JIuHkoP
      READ-ME-Nullhexxx.txt
      Автор JIuHkoP
      Добрый день. Зашифровали сервер с данными на 10Тб
      \\\\ All your files are encrypted...
          All your files have been encrypted !!!
          
          To decrypt them send e-mail to this address : nullhex@2mail.co
          
          If you do not receive a response within 24 hours, Send a TOX message
          TOX ID : 
              5551C47D78A6C295B805270C49D6C072095ABD5A1CD2545F1EABAA773CBF6A1C8231E8BF49CE
          You can access it from here.
          https://tox.chat

      \\\\ Your ID :  {********}
              Enter the ID of your files in the subject !

      \\\\  What is our decryption guarantee ?
          Before paying you can send us up to 2 test files for free decryption !
              
          The total size of files must be less than 2Mb.(non archived) !
              
          Files should not contain valuable information.(databases,backups) !
              
          Compress the file with zip or 7zip or rar compression programs and send it to us
      Есть возможность спасти данные?
    • Алий
      Зашифровали данные на компьютере. Прошу помощи в расшифровке
      Автор Алий
      Сегодня обнаружили , что данные на компьютере зашифрованы. Данные очень важны. Прошу помощи в расшифровке. Логи в архиве прикрепляю.
      virus.rar
×
×
  • Создать...