Перейти к содержанию

Все ваши файлы зашифрованы AES256


Рекомендуемые сообщения

Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.

 

Для этого выполните следующие действия:

1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/download-easy.html.en

2) Установите и запустите 'Tor Browser'

3) Перейдите по ссылке 'http://3qo5aqjlesrudfm3.onion/?id=fbdd781d&HashID=531cae80ed3fce6166e66534f01a5616'в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')

4) Следуйте инструкциям на сайте

 

--------------------------------------------------------------

 

Для авторизации на сайте используйте:

ID: fbdd781d

HashID: 531cae80ed3fce6166e66534f01a5616

 

--------------------------------------------------------------

 

1) Внимание, 'переустановка/откат' windows не поможет восстановить файлы но может окончательно их повредить и тогда даже мы не сможем их восстановить.

2) Антивирусы nod32, drweb, kaspersky и т.д вам не помогут расшифровать файлы, даже если вы купите у них лицензию на 10 лет, они вам все равно не восстановят файлы.

3) Для шифрования файлов используется AES который был создан в 1998г, за 17 лет никто на планете земля не смог взломать алгоритм шифрования, даже АНБ.

4) Ключ других пользователей вам не подойдет, так как у каждого пользователя уникальный ключ, поэтому не ждите что кто-то оплатит и выложит ключ для расшифровки файлов.

 

--------------------------------------------------------------

 

Коротко о шифрование 'AES256' на примере 'Winrar', каждый файл помешается в архив 'Winrar', на архив 'Winrar' ставится пароль из 256 символов: 

1) Открыть архив можно только введя пароль

2) Удалив 'Winrar' файл остается в архиве и открыть его нельзя.

3) Даже если перенести архив на другой windows, он все еще будет требовать пароль для открытия.

4) Если вы 'переустановите/откатите' windows, архив 'Winrar' останется архивом и для его открытия все еще потребуется 'Winrar' и пароль из 256 символов.

 

--------------------------------------------------------------

 

Вы можете ждать пока кто-то через лет 60 взломает алгоритм шифрования AES256 и через 60 лет восстановить файлы или же оплатить ключ и восстановить файлы за пару часов, выбор за вами!


 

 

Прилагаю лог Autologger CollectionLog-2016.02.10-12.49.zip и архив с зашифрованнм файлом IMG_5550.JPG.zip.

Прошу помочь.

 

Изменено пользователем Alexey Krikun
Ссылка на комментарий
Поделиться на другие сайты


Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

move.gif

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 


 

 



Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.

 

Ссылка на комментарий
Поделиться на другие сайты


Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction - Chrome <======= ATTENTION
BHO-x32: No Name -> {C35B7206-62EB-F808-5475-18A6FDE7DD94} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-2836425030-3476846890-2607279095-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR Extension: (Поделиться ВКонтакте) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmmemlnpjmfkcddknibchodllhnnidlp [2016-01-17]
CHR HKLM-x32\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
S2 CppWindowsService; C:\Program Files (x86)\filter\2\CppWindowsService.exe [X]
2016-01-17 09:37 - 2016-01-17 09:37 - 00000000 ____D C:\Users\Admin\AppData\Roaming\MailProducts
2016-01-17 09:32 - 2016-02-10 01:21 - 00000000 ____D C:\netfilter2
2016-01-20 22:27 - 2016-01-20 22:27 - 00000000 ____D C:\Users\Admin\AppData\Roaming\extensions
2015-12-25 13:35 - 2016-01-05 08:18 - 00000000 ____D C:\Users\Admin\AppData\Roaming\tor
2015-12-25 13:35 - 2015-12-25 13:38 - 00000000 ____D C:\Users\Admin\AppData\Roaming\CryptoDB
2015-12-25 13:29 - 2016-01-05 08:18 - 00000000 ____D C:\Users\Admin\AppData\Roaming\b4e71a9cd2f3ed6323856625e409ba50
2015-12-25 13:27 - 2015-12-25 13:27 - 00000000 ____D C:\Users\Все пользователи\czqAwUx
2015-12-25 13:27 - 2015-12-25 13:27 - 00000000 ____D C:\Users\Все пользователи\BTeSXFRf
2015-12-25 13:27 - 2015-12-25 13:27 - 00000000 ____D C:\ProgramData\czqAwUx
2015-12-25 13:27 - 2015-12-25 13:27 - 00000000 ____D C:\ProgramData\BTeSXFRf
2015-12-25 13:26 - 2015-12-25 13:26 - 00000000 ____D C:\Users\Все пользователи\ContentDefender
2015-12-25 13:26 - 2015-12-25 13:26 - 00000000 ____D C:\ProgramData\ContentDefender
2015-12-24 14:09 - 2015-12-26 13:02 - 00000000 ____D C:\Users\Admin\AppData\Roaming\TrackChecker
2015-12-13 15:15 - 2016-02-10 09:12 - 00000884 __RSH C:\Users\Admin\ntuser.pol
2014-09-18 09:16 - 2014-12-09 12:53 - 0000110 ____H () C:\Program Files (x86)\DivXControlPanelLauncher.bat
2014-09-18 09:16 - 2014-12-09 12:53 - 0000110 ____H () C:\Program Files (x86)\DivXConverterLauncher.bat
2013-09-04 20:58 - 2012-09-01 18:03 - 0000144 _____ () C:\Users\Admin\AppData\Roaming\ACEConfigCache2.lst
2013-08-22 17:15 - 2016-01-06 18:07 - 0000532 _____ () C:\Users\Admin\AppData\Roaming\burnaware.ini
2014-09-01 10:18 - 2014-09-01 10:18 - 0001248 ____N () C:\Users\Admin\AppData\Roaming\IWLBEDYT
2015-03-26 21:14 - 2015-03-26 21:14 - 0005542 _____ () C:\Users\Admin\AppData\Roaming\JGSRF
2013-09-27 11:03 - 2013-03-02 15:39 - 0000053 _____ () C:\Users\Admin\AppData\Roaming\minecraft-goldmods.ru.url
R1 condef; C:\Windows\System32\drivers\condef.sys [56112 2015-12-11] ()
2015-12-13 10:52 - 2015-12-11 22:34 - 00056112 _____ C:\Windows\system32\Drivers\condef.sys
Task: {044BC6CA-ACFA-4255-8B2E-FE64DF8A8D45} - \Update Service for Video Saver -> No File <==== ATTENTION
Task: {09B5D72B-E1DA-4BEC-BA46-45E65C95AB64} - System32\Tasks\Experience Image => Rundll32.exe "C:\Users\Admin\AppData\Local\Experience Image\Bin\ExperienceImage.dll",#3 <==== ATTENTION
Task: {24731738-E4BF-4194-93A5-3979725BE884} - System32\Tasks\{6A4AA5A5-8E55-49CE-A511-E8E08302C294} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\mystartsearch\UninstallManager.exe -c  -ptid=cmi
Task: {38183814-A01F-4A9E-9C52-255541D923FB} - System32\Tasks\{C78621BD-AD2E-45C0-AE53-6E078F3F8708} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\istartsurf\UninstallManager.exe -c  -ptid=cornl
Task: {3F55BBC8-8A85-41C0-AA9B-9EF6A4857818} - System32\Tasks\{C71F6995-D850-47DD-8DB8-B46B7E689D7E} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\mystartsearch\UninstallManager.exe -c  -ptid=cmi
Task: {55734ED2-F610-4545-A34D-AA39917934BC} - System32\Tasks\{29635EE7-E583-4970-A290-8F8047B40E26} => pcalua.exe -a "C:\Users\Admin\Downloads\files (1).exe" -d C:\Users\Admin\Downloads
Task: {5B5C8743-5FBC-44EC-88EE-EE4DCA91C933} - System32\Tasks\Kit Food => Rundll32.exe "C:\Users\Admin\AppData\Local\Kit Food\xBin\KitFood.dll",#3 <==== ATTENTION
Task: {CA387C81-5E41-4533-88E1-F8B8DF9F71BB} - \Update Service for Video Saver2 -> No File <==== ATTENTION
Task: {FA4D650A-33CA-42D9-BA98-9F410A493266} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
Shortcut: C:\Users\Public\Desktop\Chivalry - Medieval Warfare.lnk -> E:\Chivalry - Medieval Warfare\Launch.bat ()
hosts:



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.

 

 

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • sanka
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
    • itman
      Автор itman
      Добрый день всем! Хочу поведать вам всем поучительную историю как делать НЕ НАДО!!! В апреле месяце подцепили вирус -шифровальщик! Утром пришли  пользователи, а там все зашифровано на 3 севаках и 2х локалках на которых была расшаренная какая-то папка!! печаль !!! ну а что делать?! благо сисадмин делал копию раз в месяц акрониксом всех серверов, а бухгалтер помимо всего копии на внешний hdd каждое утро и хдд этот хранил в сейфе! (рекомендую всем бухгалтерам так делать!!!) и вот утром сисадмину звонок: -ААА!! Все пропало!! Что делать???? ничего не работает!!!  Помоги!!! и проч))) ну что проснулся от и начал смотреть что все таки произошло! на каждом из серваков при запуске вот такой текст: Encrypted by trust
       Email us for recovery: Rdpdik6@gmail.com
       In case of no answer, send to this email: Rdpp771@gmail.com
      Your unqiue ID:  писать не буду.
       Почти  все файлы (кроме *.dll и тому подобных и системных зашифрованы и переименованы по формуле имя.расширение. [Rdpdik6@gmail.com].lockedfile) и в каждой папке файлик txt c вот таким содержимым:
       Email 1:
      Rdpdik6@gmail.com
      Email 2:
      Rdpp771@gmail.com
      Send messages to both emails at the same time
      So send messages to our emails, check your spam folder every few hours
      ID: эту строчку сотру на всякий случай)
      If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
      Then send us a message with a new email
      Ну сисадмин начал заниматься восстановлением копии то есть пусть месячные но все же копии а базы 1с так вообще вчерашние!!!  (а это самое главное!) прежде чем все восстанавливать сделал копию того что зашифровали а мало ли)) ну и параллельно всё-таки решил он написать этим недо людям (медикам на букву П), что так и так копии есть ущерб не большой на то что пока будет восстанавливаться копия уйдет время давайте разойдемся все миром и в итоге договорились на 30 баксах. Сисадмин им перевел на их кошелек, а они его кинули ни хрена они ему не прислали!!!!
      Прошло какое-то время (месяца полтора!) и тут пользователи посмотрели что у одного там пара доков осталась в общей папке уже после того как делалась копия у другого тоже какие-то доки  у третьего вообще фото с корпоратива и подумали они что всё-таки давай заплатим этим  людям нетрадиционной ориентации) сумму которую они просят! Скинулись толпой. Вот на переговоры опять отправили сисадмина (как жаль его)! Опять шли переговоры пару дней а то и больше ну вроде нашли они компромисс с шантажистами в размере 250$ те опять прислали адрес куда переводить деньги причем второй раз без гарантий! Типа из всех гарантий попросили прислать любой зашифрованный файл не более мегабайта и они покажут что всё-таки могут расшифровать. Отправили им какой-то pdf они в ответ скрин файла только весь замазанный видно только пару слов по которым надо только больше догадываться! По итогу  Он им опять перевел общий банк:
      Получаете:
      200.0813 Tether TRC20 USDT
      На счет:
      TBgx7szAXYNSwPJz1Ama2K85kTXrCcsnG1
       
      И? что вы думаете? Эти деятели пишут:
      Sinior (это ник в телеге одного из шантажистов )
      Deposit $50
      Sinior
      I won't give you the key until you pay me $50.
      Типа вы не доплатили 50 баксов!! Вот так уважаемые читатели этого поста ни в коем случае не вздумайте им платить так как они вам все равно ничего не пришлют!!! А деньги вы потеряете!!! И ни одного файла не расшифруете там рассчитано не на то чтоб найти компромисс а на то чтоб выдурить с вас побольше денег!!!!!!!
      P.S.    Делайте резервные копии и храните их на внешних hhd  и не оставляйте их подключенными к компьютеру! Сделал копию и отключай да не удобно зато надежно!!!! Всем удачи!!!!
       
      Сообщение от модератора thyrex Перенесено из раздела по шифровальщикам
       
    • tamerlan
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • Mep3aBEz
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
    • orbita06
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
×
×
  • Создать...