Перейти к содержанию

Поймал шифровальщик, помогите

Madser
 Поделиться

Рекомендуемые сообщения

Madser

Madser

Опубликовано
Опубликовано

Добрый день. Вчера или позовчера словил вирус шифровальщик 

Вот текст записки 

 

Warning: Your files have been stolen and encrypted.

If you want your files back, contact us at the email addresses shown below:

Email: joedecryption@gmail.com
Telegram: @joedecryption

# In subject line please write your personal ID
ID: 0CC4841421D393CDA0B009A916A4DAD3


Warning: You will receive a discount if you contact us within 24 hours of decryption - Strictly try to avoid scam brokers or decryption companies, as they will only waste your money.

Check Your Spam Folder: After sending your emails, please check your spam/junk folder
regularly to ensure you do not miss our response.

No Response After 24 Hours: If you do not receive a reply from us within 24 hours,
please create a new, valid email address (e.g., from Gmail, Outlook, etc.)
and send your message again using the new email address.

P.S : No one but us has the ability to decrypt your files.

 

 

Sandor

Sandor

Опубликовано
Опубликовано

Сам файл C:\Helper.txt тоже прикрепите, пожалуйста.

Sandor

Sandor

Опубликовано
Опубликовано

Спасибо, некоторое время подождите.

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано

Если систему сканировали в KVRT добавьте отчеты из папки Reports, в архиве, без пароля

2026-02-07 23:41 - 2023-09-04 15:46 - 000000000 ____D C:\KVRT2020_Data

 

Madser

Madser

Опубликовано
  • Автор
Опубликовано
8 минут назад, safety сказал:

Если систему сканировали в KVRT добавьте отчеты из папки Reports, в архиве, без пароля

2026-02-07 23:41 - 2023-09-04 15:46 - 000000000 ____D C:\KVRT2020_Data

 

Не сканировал

safety

safety

Опубликовано
Опубликовано (изменено)

Этот файл добавьте в архив с паролем virus, архив загрузите в ваше сообщение.

C:\Windows\SysWOW64\conhost.exe

+

проверьте что в этой папке

2026-02-07 23:36 - 2026-02-07 23:42 - 000000000 ____D C:\Users\DefaultAccount\Desktop\toold

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Всю папку

C:\Users\DefaultAccount\Desktop\toold

заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание здесь

 

13 минут назад, Madser сказал:

ссылка на файл https://disk.yandex.ru/d/owtXdihSdr0UpQ

по файлу:

Файл подозрительный.

https://www.virustotal.com/gui/file/e214aeaf13b9dcdbf33f167d2a6b578564cb5ce4931e983b6dc193d8f6cae34e?nocache=1

Если вы не устанавливали данное ПО, то лучше его закрыть, или удалить.

По очистке системы:

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
() [Файл не подписан] C:\Windows\SysWOW64\conhost.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
S2 WinConhost; cmd /c start c:\windows\sysWOW64\conhost.exe -L=WinSync:o478peEr3D@89.108.90.208:35812 [X] <==== ВНИМАНИЕ
2026-02-07 23:42 - 2026-02-07 23:42 - 004403254 _____ C:\ProgramData\0CC4841421D393CDA0B009A916A4DAD3.bmp
2026-02-07 23:42 - 2026-02-07 23:42 - 000000889 _____ C:\Users\Public\Helper.txt
2026-02-07 23:36 - 2026-02-07 23:42 - 000000000 ____D C:\Users\DefaultAccount\Desktop\toold
S2 WinConhost; cmd /c start c:\windows\sysWOW64\conhost.exe -L=WinSync:o478peEr3D@89.108.90.208:35812 [X] <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

Madser

Madser

Опубликовано
  • Автор
Опубликовано (изменено)
15 минут назад, safety сказал:

Всю папку

C:\Users\DefaultAccount\Desktop\toold

заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание здесь

 

по файлу:

Файл подозрительный.

https://www.virustotal.com/gui/file/e214aeaf13b9dcdbf33f167d2a6b578564cb5ce4931e983b6dc193d8f6cae34e?nocache=1

Если вы не устанавливали данное ПО, то лучше его закрыть, или удалить.

Архв загружен, ссылка удалена.

Изменено пользователем safety
Архв загружен, ссылка удалена.
safety

safety

Опубликовано
Опубликовано (изменено)
10 минут назад, Madser сказал:

Архв загружен, ссылка удалена.

Спасибо, то что надо. Теперь чистим систему в FRST

По файлу Stub.vexe - это Proton

#Proton / #Shinra #Ransomware

https://www.virustotal.com/gui/file/6aa1db14d96421b4948b81b12ae140acc6ef2b2a1f4cd634b546a9a7bc14b623/detection

Изменено пользователем safety
Madser

Madser

Опубликовано
  • Автор
Опубликовано (изменено)
54 минуты назад, safety сказал:

Всю папку

C:\Users\DefaultAccount\Desktop\toold

заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание здесь

 

по файлу:

Файл подозрительный.

https://www.virustotal.com/gui/file/e214aeaf13b9dcdbf33f167d2a6b578564cb5ce4931e983b6dc193d8f6cae34e?nocache=1

Если вы не устанавливали данное ПО, то лучше его закрыть, или удалить.

По очистке системы:

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
() [Файл не подписан] C:\Windows\SysWOW64\conhost.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
S2 WinConhost; cmd /c start c:\windows\sysWOW64\conhost.exe -L=WinSync:o478peEr3D@89.108.90.208:35812 [X] <==== ВНИМАНИЕ
2026-02-07 23:42 - 2026-02-07 23:42 - 004403254 _____ C:\ProgramData\0CC4841421D393CDA0B009A916A4DAD3.bmp
2026-02-07 23:42 - 2026-02-07 23:42 - 000000889 _____ C:\Users\Public\Helper.txt
2026-02-07 23:36 - 2026-02-07 23:42 - 000000000 ____D C:\Users\DefaultAccount\Desktop\toold
S2 WinConhost; cmd /c start c:\windows\sysWOW64\conhost.exe -L=WinSync:o478peEr3D@89.108.90.208:35812 [X] <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

архив загружен, ссылка удалена

Fixlog.txt

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Сергей_71
      Зашифрованы файлы - Trojan-Ransom.Win64.Generic
      Автор Сергей_71
      Здравствуйте. Зашифрованы файлы. ОС: Windows 10 22H2 Pro x64. Антивирус Kaspersky Endpoint Security определил и удалил файл: "Удален    троянская программа UDS:Trojan-Ransom.Win64.Generic    C:\Users\Bibadmin\Desktop\766257983B28235B\Win32-Release\Stub.exe". Но файлы на ПК зашифрованы. Система НЕ была переустановлена. Файлы шифровальщика сохранены. Файлы были зашифрованы на рабочем ПК после окончания рабочего дня, обнаружено на следующий день, сб, 22.02.2026. Действующая лицензия на антивирус.
      FRST.txt файлы.rar Addition.txt
    • Oleg2002
      Зашифровали файлы, формат файла npz234, как можно попробовать расшифровать?
      Автор Oleg2002
      День добрый! Нужна помощь по расшифровке файлов npz234, какие способы есть?
    • DmTS
      Зашифрованы файлы на сервере
      Автор DmTS
      Здравствуйте.
      На сервере ночью шифровальщиком были зашифрованы все файлы. Вероятно попали через RDP. С помощью Kaspersky Endpoint Security 12 был пойман Stub.exe. Прошу подсказать, есть ли вариант восстановить данные.
      Addition.zip Files.zip FRST.zip
    • Chaserhunt
      Шифровальщик reopening2025@gmail.com декабрь 2025
      Автор Chaserhunt
      Здравствуйте,
      работали в терминале через VPN,
      в связи с блокировками работать стало не возможно,
      перебросили порты и работали по rdp напрямую.
      антивирусов не было.
      в 06.12 зашифровало сервер 2008 R2 64bit,
      в каждой папке все файлы зашифрованы, и текстовый файл с инструкцией по разблокировке.
      FRST64 на сервере не запускается, предлагает скачать подходящую версию, на win 10 и 11 запускается.
      Пример.zip #HowToRecover.txt Virus.rar
    • Viktorkmsfa
      Помогите расшифровать dbx5
      Автор Viktorkmsfa
      Здравствуйте поймали шифровальщика с таким запросом :
       
      >>> ALL YOUR FILES HAVE BEEN ENCRYPTED <<<
      Your Unique ID: ***
      ---
      What Happened?  
      Your files have been encrypted due to a critical security  
      breach on your system. Unauthorized access was achieved  
      via exploited vulnerabilities in your network or software.
      All your files can be decryption with the private key and they are not damaged.
      To recover your data, you must purchase a decryption  
      utility developed specifically for your Remot.
      Include your unique ID in the subject line and contact us  
      via Telegram or gmail with following email addresses:
        - Supdic911@mailfence.com
        - Suphelp911@gmail.com
        - @Suphelp911
      You may submit one file (under 1MB) for free decryption —  
      this serves as proof of our ability to restore your data
       
      отследить откуда зашел не удалось
      есть ли способы как то расшифровать файлы?
      READ-ME.txt Баланс 2016.rar
×
×
  • Создать...