Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Поймал шифровальщик, помогите

Madser
 Поделиться

Рекомендуемые сообщения

Madser

Madser

Опубликовано
Опубликовано

Добрый день. Вчера или позовчера словил вирус шифровальщик 

Вот текст записки 

 

Warning: Your files have been stolen and encrypted.

If you want your files back, contact us at the email addresses shown below:

Email: joedecryption@gmail.com
Telegram: @joedecryption

# In subject line please write your personal ID
ID: 0CC4841421D393CDA0B009A916A4DAD3


Warning: You will receive a discount if you contact us within 24 hours of decryption - Strictly try to avoid scam brokers or decryption companies, as they will only waste your money.

Check Your Spam Folder: After sending your emails, please check your spam/junk folder
regularly to ensure you do not miss our response.

No Response After 24 Hours: If you do not receive a reply from us within 24 hours,
please create a new, valid email address (e.g., from Gmail, Outlook, etc.)
and send your message again using the new email address.

P.S : No one but us has the ability to decrypt your files.

 

 

Sandor

Sandor

Опубликовано
Опубликовано

Сам файл C:\Helper.txt тоже прикрепите, пожалуйста.

Sandor

Sandor

Опубликовано
Опубликовано

Спасибо, некоторое время подождите.

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано

Если систему сканировали в KVRT добавьте отчеты из папки Reports, в архиве, без пароля

2026-02-07 23:41 - 2023-09-04 15:46 - 000000000 ____D C:\KVRT2020_Data

 

Madser

Madser

Опубликовано
  • Автор
Опубликовано
8 минут назад, safety сказал:

Если систему сканировали в KVRT добавьте отчеты из папки Reports, в архиве, без пароля

2026-02-07 23:41 - 2023-09-04 15:46 - 000000000 ____D C:\KVRT2020_Data

 

Не сканировал

safety

safety

Опубликовано
Опубликовано (изменено)

Этот файл добавьте в архив с паролем virus, архив загрузите в ваше сообщение.

C:\Windows\SysWOW64\conhost.exe

+

проверьте что в этой папке

2026-02-07 23:36 - 2026-02-07 23:42 - 000000000 ____D C:\Users\DefaultAccount\Desktop\toold

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Всю папку

C:\Users\DefaultAccount\Desktop\toold

заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание здесь

 

13 минут назад, Madser сказал:

ссылка на файл https://disk.yandex.ru/d/owtXdihSdr0UpQ

по файлу:

Файл подозрительный.

https://www.virustotal.com/gui/file/e214aeaf13b9dcdbf33f167d2a6b578564cb5ce4931e983b6dc193d8f6cae34e?nocache=1

Если вы не устанавливали данное ПО, то лучше его закрыть, или удалить.

По очистке системы:

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
() [Файл не подписан] C:\Windows\SysWOW64\conhost.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
S2 WinConhost; cmd /c start c:\windows\sysWOW64\conhost.exe -L=WinSync:o478peEr3D@89.108.90.208:35812 [X] <==== ВНИМАНИЕ
2026-02-07 23:42 - 2026-02-07 23:42 - 004403254 _____ C:\ProgramData\0CC4841421D393CDA0B009A916A4DAD3.bmp
2026-02-07 23:42 - 2026-02-07 23:42 - 000000889 _____ C:\Users\Public\Helper.txt
2026-02-07 23:36 - 2026-02-07 23:42 - 000000000 ____D C:\Users\DefaultAccount\Desktop\toold
S2 WinConhost; cmd /c start c:\windows\sysWOW64\conhost.exe -L=WinSync:o478peEr3D@89.108.90.208:35812 [X] <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

Madser

Madser

Опубликовано
  • Автор
Опубликовано (изменено)
15 минут назад, safety сказал:

Всю папку

C:\Users\DefaultAccount\Desktop\toold

заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание здесь

 

по файлу:

Файл подозрительный.

https://www.virustotal.com/gui/file/e214aeaf13b9dcdbf33f167d2a6b578564cb5ce4931e983b6dc193d8f6cae34e?nocache=1

Если вы не устанавливали данное ПО, то лучше его закрыть, или удалить.

Архв загружен, ссылка удалена.

Изменено пользователем safety
Архв загружен, ссылка удалена.
safety

safety

Опубликовано
Опубликовано (изменено)
10 минут назад, Madser сказал:

Архв загружен, ссылка удалена.

Спасибо, то что надо. Теперь чистим систему в FRST

По файлу Stub.vexe - это Proton

#Proton / #Shinra #Ransomware

https://www.virustotal.com/gui/file/6aa1db14d96421b4948b81b12ae140acc6ef2b2a1f4cd634b546a9a7bc14b623/detection

Изменено пользователем safety
Madser

Madser

Опубликовано
  • Автор
Опубликовано (изменено)
54 минуты назад, safety сказал:

Всю папку

C:\Users\DefaultAccount\Desktop\toold

заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание здесь

 

по файлу:

Файл подозрительный.

https://www.virustotal.com/gui/file/e214aeaf13b9dcdbf33f167d2a6b578564cb5ce4931e983b6dc193d8f6cae34e?nocache=1

Если вы не устанавливали данное ПО, то лучше его закрыть, или удалить.

По очистке системы:

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
() [Файл не подписан] C:\Windows\SysWOW64\conhost.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
S2 WinConhost; cmd /c start c:\windows\sysWOW64\conhost.exe -L=WinSync:o478peEr3D@89.108.90.208:35812 [X] <==== ВНИМАНИЕ
2026-02-07 23:42 - 2026-02-07 23:42 - 004403254 _____ C:\ProgramData\0CC4841421D393CDA0B009A916A4DAD3.bmp
2026-02-07 23:42 - 2026-02-07 23:42 - 000000889 _____ C:\Users\Public\Helper.txt
2026-02-07 23:36 - 2026-02-07 23:42 - 000000000 ____D C:\Users\DefaultAccount\Desktop\toold
S2 WinConhost; cmd /c start c:\windows\sysWOW64\conhost.exe -L=WinSync:o478peEr3D@89.108.90.208:35812 [X] <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

архив загружен, ссылка удалена

Fixlog.txt

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • tentacruel74
      Шифровальщик Proton?
      Автор tentacruel74
      Поймали на ПК шифровальщик протон вроде как, можно ли восстановить данные?
      Пароль на архив virusFRST_22-06-2026 14.24.59.txtAddition_22-06-2026 15.17.29.txt
      123.rar
    • Антон.Б
      Поймал шифровальщика через RDP .r9Zw10Hg
      Автор Антон.Б
      Установлен корпоративный KES . через RDP перебором (слабый пароль был  ) добрались до учетки с правами админа и зашифровали комп, KES  отключили. подскажите что дальше делать.
      С Уважением Антон
      Xyd3RcAk4M.rar
    • Bek777
      компьютер-сервер 1С поймал шифровальщик
      Автор Bek777
      Здравствуйте! Коллеги поймали шифровальщик, отключили от сети убрали через KVRT. Далее установили (после пожара) KES. Логи с KVRT нет. Прилагаю только с FRST и само сообщение во втором архиве. Зашифровано практически все форматы и оба (С, D) диска. Закидывал в шерифа не найдено. Надеюсь вы поможете.
      FRST.rarHowToRecover.rar
    • Игорь11222
      Шифровальфик с расширением SYXmxcO8
      Автор Игорь11222
      Сегодня в ночь зашивровались некоторые файлы, кроме зашифрованных файлов и тектовых документов с требованиями ничего в системе не обнаружено. Файлы зашифровались не все, с 22:00 началось шифрование файлов, в 3:08 оно остановилось. Антивирус никакх угроз не обнаружил
      Addition.txt FRST.txt в.zip
    • lda
      Зашифровали компьютеры сети, похоже на Mimic
      Автор lda
      Доброй ночи! Зашифровали компьютеры сети, похоже на Mimic. На одном из компьютеров, откуда скорей всего производили запуск, нашел папочку mimic, ее прикладываю. Архив encrypted с зашифрованным файлами с этого же компа, dunay-ut - с компа из сети. Прошу оказать помощь в расшифровке. Заранее благодарен
      dunay-ut.rar Mimik.rar encrypted.rar
×
×
  • Создать...