Перейти к содержанию

Все ваши файлы зашифрованы AES256

Alexey Krikun
 Поделиться

Рекомендуемые сообщения

Alexey Krikun

Alexey Krikun

Опубликовано
Опубликовано (изменено)
Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.

 

Для этого выполните следующие действия:

1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/download-easy.html.en

2) Установите и запустите 'Tor Browser'

3) Перейдите по ссылке 'http://3qo5aqjlesrudfm3.onion/?id=fbdd781d&HashID=531cae80ed3fce6166e66534f01a5616'в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')

4) Следуйте инструкциям на сайте

 

--------------------------------------------------------------

 

Для авторизации на сайте используйте:

ID: fbdd781d

HashID: 531cae80ed3fce6166e66534f01a5616

 

--------------------------------------------------------------

 

1) Внимание, 'переустановка/откат' windows не поможет восстановить файлы но может окончательно их повредить и тогда даже мы не сможем их восстановить.

2) Антивирусы nod32, drweb, kaspersky и т.д вам не помогут расшифровать файлы, даже если вы купите у них лицензию на 10 лет, они вам все равно не восстановят файлы.

3) Для шифрования файлов используется AES который был создан в 1998г, за 17 лет никто на планете земля не смог взломать алгоритм шифрования, даже АНБ.

4) Ключ других пользователей вам не подойдет, так как у каждого пользователя уникальный ключ, поэтому не ждите что кто-то оплатит и выложит ключ для расшифровки файлов.

 

--------------------------------------------------------------

 

Коротко о шифрование 'AES256' на примере 'Winrar', каждый файл помешается в архив 'Winrar', на архив 'Winrar' ставится пароль из 256 символов: 

1) Открыть архив можно только введя пароль

2) Удалив 'Winrar' файл остается в архиве и открыть его нельзя.

3) Даже если перенести архив на другой windows, он все еще будет требовать пароль для открытия.

4) Если вы 'переустановите/откатите' windows, архив 'Winrar' останется архивом и для его открытия все еще потребуется 'Winrar' и пароль из 256 символов.

 

--------------------------------------------------------------

 

Вы можете ждать пока кто-то через лет 60 взломает алгоритм шифрования AES256 и через 60 лет восстановить файлы или же оплатить ключ и восстановить файлы за пару часов, выбор за вами!


 

 

Прилагаю лог Autologger CollectionLog-2016.02.10-12.49.zip и архив с зашифрованнм файлом IMG_5550.JPG.zip.

Прошу помочь.

 

Изменено пользователем Alexey Krikun
mike 1

mike 1

Опубликовано
Опубликовано

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

move.gif

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 


 

 



Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.

 

mike 1

mike 1

Опубликовано
Опубликовано

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
mike 1

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

GroupPolicy: Restriction - Chrome <======= ATTENTION

BHO-x32: No Name -> {C35B7206-62EB-F808-5475-18A6FDE7DD94} -> No File

BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File

Toolbar: HKU\S-1-5-21-2836425030-3476846890-2607279095-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File

CHR Extension: (Поделиться ВКонтакте) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmmemlnpjmfkcddknibchodllhnnidlp [2016-01-17]

CHR HKLM-x32\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx

S2 CppWindowsService; C:\Program Files (x86)\filter\2\CppWindowsService.exe [X]

2016-01-17 09:37 - 2016-01-17 09:37 - 00000000 ____D C:\Users\Admin\AppData\Roaming\MailProducts

2016-01-17 09:32 - 2016-02-10 01:21 - 00000000 ____D C:\netfilter2

2016-01-20 22:27 - 2016-01-20 22:27 - 00000000 ____D C:\Users\Admin\AppData\Roaming\extensions

2015-12-25 13:35 - 2016-01-05 08:18 - 00000000 ____D C:\Users\Admin\AppData\Roaming\tor

2015-12-25 13:35 - 2015-12-25 13:38 - 00000000 ____D C:\Users\Admin\AppData\Roaming\CryptoDB

2015-12-25 13:29 - 2016-01-05 08:18 - 00000000 ____D C:\Users\Admin\AppData\Roaming\b4e71a9cd2f3ed6323856625e409ba50

2015-12-25 13:27 - 2015-12-25 13:27 - 00000000 ____D C:\Users\Все пользователи\czqAwUx

2015-12-25 13:27 - 2015-12-25 13:27 - 00000000 ____D C:\Users\Все пользователи\BTeSXFRf

2015-12-25 13:27 - 2015-12-25 13:27 - 00000000 ____D C:\ProgramData\czqAwUx

2015-12-25 13:27 - 2015-12-25 13:27 - 00000000 ____D C:\ProgramData\BTeSXFRf

2015-12-25 13:26 - 2015-12-25 13:26 - 00000000 ____D C:\Users\Все пользователи\ContentDefender

2015-12-25 13:26 - 2015-12-25 13:26 - 00000000 ____D C:\ProgramData\ContentDefender

2015-12-24 14:09 - 2015-12-26 13:02 - 00000000 ____D C:\Users\Admin\AppData\Roaming\TrackChecker

2015-12-13 15:15 - 2016-02-10 09:12 - 00000884 __RSH C:\Users\Admin\ntuser.pol

2014-09-18 09:16 - 2014-12-09 12:53 - 0000110 ____H () C:\Program Files (x86)\DivXControlPanelLauncher.bat

2014-09-18 09:16 - 2014-12-09 12:53 - 0000110 ____H () C:\Program Files (x86)\DivXConverterLauncher.bat

2013-09-04 20:58 - 2012-09-01 18:03 - 0000144 _____ () C:\Users\Admin\AppData\Roaming\ACEConfigCache2.lst

2013-08-22 17:15 - 2016-01-06 18:07 - 0000532 _____ () C:\Users\Admin\AppData\Roaming\burnaware.ini

2014-09-01 10:18 - 2014-09-01 10:18 - 0001248 ____N () C:\Users\Admin\AppData\Roaming\IWLBEDYT

2015-03-26 21:14 - 2015-03-26 21:14 - 0005542 _____ () C:\Users\Admin\AppData\Roaming\JGSRF

2013-09-27 11:03 - 2013-03-02 15:39 - 0000053 _____ () C:\Users\Admin\AppData\Roaming\minecraft-goldmods.ru.url

R1 condef; C:\Windows\System32\drivers\condef.sys [56112 2015-12-11] ()

2015-12-13 10:52 - 2015-12-11 22:34 - 00056112 _____ C:\Windows\system32\Drivers\condef.sys

Task: {044BC6CA-ACFA-4255-8B2E-FE64DF8A8D45} - \Update Service for Video Saver -> No File <==== ATTENTION

Task: {09B5D72B-E1DA-4BEC-BA46-45E65C95AB64} - System32\Tasks\Experience Image => Rundll32.exe "C:\Users\Admin\AppData\Local\Experience Image\Bin\ExperienceImage.dll",#3 <==== ATTENTION

Task: {24731738-E4BF-4194-93A5-3979725BE884} - System32\Tasks\{6A4AA5A5-8E55-49CE-A511-E8E08302C294} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\mystartsearch\UninstallManager.exe -c  -ptid=cmi

Task: {38183814-A01F-4A9E-9C52-255541D923FB} - System32\Tasks\{C78621BD-AD2E-45C0-AE53-6E078F3F8708} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\istartsurf\UninstallManager.exe -c  -ptid=cornl

Task: {3F55BBC8-8A85-41C0-AA9B-9EF6A4857818} - System32\Tasks\{C71F6995-D850-47DD-8DB8-B46B7E689D7E} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\mystartsearch\UninstallManager.exe -c  -ptid=cmi

Task: {55734ED2-F610-4545-A34D-AA39917934BC} - System32\Tasks\{29635EE7-E583-4970-A290-8F8047B40E26} => pcalua.exe -a "C:\Users\Admin\Downloads\files (1).exe" -d C:\Users\Admin\Downloads

Task: {5B5C8743-5FBC-44EC-88EE-EE4DCA91C933} - System32\Tasks\Kit Food => Rundll32.exe "C:\Users\Admin\AppData\Local\Kit Food\xBin\KitFood.dll",#3 <==== ATTENTION

Task: {CA387C81-5E41-4533-88E1-F8B8DF9F71BB} - \Update Service for Video Saver2 -> No File <==== ATTENTION

Task: {FA4D650A-33CA-42D9-BA98-9F410A493266} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION

Shortcut: C:\Users\Public\Desktop\Chivalry - Medieval Warfare.lnk -> E:\Chivalry - Medieval Warfare\Launch.bat ()

hosts:



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.

 

 

Alexey Krikun

Alexey Krikun

Опубликовано
  • Автор
Опубликовано

С расшифровкой не поможем.

Совсем ничего нельзя сделать? 

mike 1

mike 1

Опубликовано
Опубликовано

У меня нет ключа под этот ID. 

Alexey Krikun

Alexey Krikun

Опубликовано
  • Автор
Опубликовано

Есть оригиналы фото и зашифорваные, может это как-то поможет?

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Виктория513
      Все ваши файлы зашифрованы AES256 (WannaCash)
      Автор Виктория513
      Высветилось сообщение, что все значимые  файлы на вашем компьютере были упакованы в архивы при использовании aes-256 битного шифрования. Необходимо связаться по эл. почте для расшифровке за 10000 рублей.
    • zoic
      Зашифровали все файлы (Support.team@onionmail.org, Backup.team@cyberfear.com)
      Автор zoic
      Добрый день! 
      можно ли что-то сделать? 
       
      Добралась до моего рабочего компьютера какая-то "гадость".
      Зашифровала все файлы.
      Написал на указанные адреса, пришел ответ ниже на англ. Прибыльный у них бизнес...)
      Система запускается, но все рабочие файлы и программы "похерены" (((( 
       
      Hello,
      The price for the recovery of your files is (2500 $).
      the payment should be make in BTC

      2500 $ includes the following items:

      1) you will receive the decryption tool and its usage guide,
      2) we will delete all the data we have downloaded from your system,
      3) We will teach you how to secure your system from other ransomware attack,
      4) We will teach your system vulnerabilities tn order to fix them.
       
      your decryption key is ready.

      If the ransom is not paid, the information will be made public on internet.
       
      FRST64_логи.zip требования+файлы.zip
    • alexey.elizarov
      KES AES56, AES256 разница в версиях
      Автор alexey.elizarov
      Доброго времени суток. Подскажите верно ли что aes56 и aes256 работает только когда шифруем диски/пользовательские данные с помощью kes. При отключенной функции шифрование разницы между пакетами нет. в Инструкциях и Интернете точного ответа не нашел. 
    • IDler
      Расшифровка Wannacash
      Автор IDler
      Друзья, добрый день!
      Достаточно давно поймали вирус (судя по дате файлов, февраль 2019), после чего сказать сложно. Файлы так и лежали зашифрованными, решили попытать удачу и попробовать найти решение проблемы.
      Переустановки ОС не было. Как объясняет получатель данного вируса, никаких окон блокировок не было, что удивительно. Просто в какой-то момент захотели просмотреть фоточки - однако увы.
      Заранее благодарен.
      Запрос о помощи оформляю впервые, надеюсь без ошибок. 
      Addition.txt FRST.txt kaspersky запрос.zip
    • Мастер саун
      Компьютер заразился и все файлы зашифровались keyhelp@cock.li
      Автор Мастер саун
      Здравствуйте.
      На днях в нашей фирме заразился один из компьютеров, и по цепочке заразил еще сервер.
      У нас на сервере установлена 1С, а к нему подключены 7 компов, один из которых бухгалтерский, на которым по удаленке работают бухгалтера (учетка с админскими правами).
      Так получилось, что придя с утра на работу, сотрудники увидели включенный бух комп с сообщением в окошке (фото 1). Выключили его.
      Попытались зайти через терминал на сервер в 1С, но базы не запустились. Они оказались тоже зашифрованными. Пришлось выключить и сервер.
      Теперь на двух компьютерах полностью зашифрованные файлы типа:
      образец торг 2 свой.pdf.id-04FAA1B7.[keyhelp@cock.li].money
      Я отсканировал жесткий диск с помощью: Dr/Web Cureit.
      Как приложить лог 83Мб и видео 6Мб ?
      И как приложить зашифрованные файлы, пишет что ошибка: вы не можете загружать файлы подобного типа.
      Полное наименование было: history.txt.id-04FAA1B7.[keyhelp@cock.li].money
      Я переименовал на: history.txt и приложил.
      Спасибо.
      С уважением, Артур.

      history.txt
×
×
  • Создать...