Перейти к содержанию

Все файла переименованы и "зашифрованы"


Рекомендуемые сообщения

Вместо файлов имею билиберду и текстовые файлы:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
D7CF1D307A4720A06618|0
на электронный адрес Kartamysheva.Larisa@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
воспользуйтесь резервным адресом. Его можно узнать двумя способами:
1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en
В адресной строке Tor Browser-а введите адрес:
http://cryptorzimsbfbkx.onion/
и нажмите Enter. Загрузится страница с резервными email-адресами.
2) В любом браузере перейдите по одному из адресов:
http://cryptorzimsbfbkx.onion.to/
http://cryptorzimsbfbkx.onion.cab/

CollectionLog-2016.03.29-19.31.zip

Ссылка на комментарий
Поделиться на другие сайты


Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Ссылка на комментарий
Поделиться на другие сайты

 

 

А когда файлы вернутся к прежнему виду?

Думаю, что без помощи злодеев они не вернутся уже к прежнему виду.

 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-2696329317-1166218934-3951397986-1000\...\Run: [hpSpOLgVoocFHHmXgFWYiTGjLV] => C:\Windows\system32\QIMbqDNQzhIAMH.exe
HKU\S-1-5-21-2696329317-1166218934-3951397986-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\z\Desktop\5991_A~1.SCR
Startup: C:\Users\z\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\extsetup.lnk [2016-03-28]
ShortcutTarget: extsetup.lnk -> C:\Users\z\AppData\Local\Microsoft\Extensions\extsetup.exe (No File)
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2016-03-28 20:19 - 2016-03-29 10:41 - 00000000 ____D C:\Users\z\AppData\Local\UVmedia
2016-03-28 20:18 - 2016-03-29 10:41 - 00000000 ____D C:\Users\z\AppData\Local\Ehction
2016-03-28 20:17 - 2016-03-28 20:17 - 02359350 _____ C:\Users\z\AppData\Roaming\02DDBDCF02DDBDCF.bmp
2014-10-07 10:39 - 2014-10-07 10:39 - 0011264 _____ () C:\Users\z\AppData\Roaming\System.dll
Task: {4038BCA7-71B7-4FB5-B682-B42F3AC2796C} - System32\Tasks\extsetup => C:\Users\z\AppData\Local\Microsoft\Extensions\extsetup.exe
zip:C:\FRST\Quarantine



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

С трудом сделал fixlist.txt : из README1.txt не переименовывает, пишет "такого файла больше нет", хотя файл открывается с прежним текстом. Сделал на рабочем столе, открывается с присланным текстом. А где утилита Farbar Recovery Scan Tool? Не нашел ни на диске С, ни на D. Соответственно не могу запустить программу, не вижу кнопку Fix и отчёта тоже нет. Что делать?

Ссылка на комментарий
Поделиться на другие сайты

А где утилита Farbar Recovery Scan Tool?

Это скачанный Вами файл FRST.exe (или FRST64.exe)

Текстовый файл fixlist.txt должен находится рядом с этим файлом.

Ссылка на комментарий
Поделиться на другие сайты

Проделал процедуру, лог прилагаю.

Тут по совету друга попробовал вылечить антивирусом "360 total security", бесплатно скачанном с интернета. Нашел и вылечил 12 вирусов, файлы как были так и остались зашифрованными. На отчёте для вас это могло отразиться?


Ещё отправил файл FRST.exe по форме http://virusinfo.info/upload_virus.php?tid=37678

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Прошу прощения, высылал upload.zip, а не FRST.exe. Повторно не принимает, пишет "уже был такой". Посмотрите пожалуйста, вчера вечером в примерно 22.25 свердловского времени (+2 от московского).


Или я по ошибке утилиту приложил,  а архив сейчас больше не принимает, под тем-же номером моего топика?


Вот архив.

Upload.zip

Ссылка на комментарий
Поделиться на другие сайты

Уважаемый Mike1! Ваши высказывания:

 

"Думаю, что без помощи злодеев они не вернутся уже к прежнему виду."

и

"С расшифровкой не поможем." -

 

как их понимать? Что мне ждать от общения на этом сайте? Если всё кончится "Надо отформатировать комп и переустановить систему" - зачем все эти действия? Моя цель - вернуть кучу информации, наработанной за годы. Могу я этого ожидать? У меня работа встала уже на несколько дней.

Ссылка на комментарий
Поделиться на другие сайты

Вам помогли с лечением, а форматировать диски или нет это уже решайте сами. Вы не лицензионный пользователь, а потому запрос в техподдержку создать не можете. А на форуме с расшифровкой вам помочь не могут. 

 

 

 

кучу информации, наработанной за годы. Могу я этого ожидать? У меня работа встала уже на несколько дней.

P.S. Ценная информация должна бэкапиться, иначе она не такая уж и ценная.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • skyinfire
      От skyinfire
      Здравствуйте.
      Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.
      Сканирование Касперским (одноразовым) ничего не находит.
      Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)
      А вот пароль непростой, 20 символов, хоть и словами с регистрами.
      Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.
      В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.
      Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?
      Bpant_Help.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Freeman80S
      От Freeman80S
      Пока катался по городу, сотрудница умудрилась поймать вирус, после этого слились данные "подключение к удаленному рабочему столу", я так понял далее тело из-за бугра залезо на сервер и переименовал все расширения файлов на окончание *.Sauron.
      Запустил все известные анти-вирусы, как итог ничего не находят. В файле требований два адреса: почта adm.helproot@gmail.com, телеграмм канал @adm_helproot, и предложение обменять деньги на биткоины и связаться с этими телами! Во вложении оценка системы и зашифрованные файлы. Буду благодарен! (пароль от архива virus)
      FRST.txt шифр файлы и требование.rar
    • xSmashQQQ
      От xSmashQQQ
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv_bkp уже исправил с помощью 1 сайта, позже обнаружил UsoSvc_bkp. Я все проверил вчера на вирусы, а сейчас нашел вот это. Я начал исправлять ошибку с обновление виндовс в параметрах по видеороликам и вот наткнулся что у меня файлы переименованы в _bkp. Решил обратиться к вам за помощью.
    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
×
×
  • Создать...