Перейти к содержанию

Расширение .windows10


Рекомендуемые сообщения

После открытия письма, произошло заражение компьютера. Вирус зашифровал все файлы *doc, *xls, *rar и т.д. От вируса избавился, а вот от последствий пока безуспешно. Если есть возможность, помогите пожалуйста с дешифровщиком!

Addition.txt

AdwCleanerS2.txt

FRST.txt

hijackthis.log

virusinfo_autoquarantine.zip

virusinfo_syscheck.htm

virusinfo_syscheck.xml

virusinfo_syscheck.zip

virusinfo_syscure.htm

virusinfo_syscure.xml

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Ekaterina\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\655A6976-73AD-40AB-BC9B-05022946D92F.exe','');
 QuarantineFile('C:\Users\Ekaterina\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\54FDB08F-5520-44FC-9673-98C28568D29C.exe','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
 QuarantineFile('C:\Users\Ekaterina\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Users\Ekaterina\AppData\Roaming\WJUCZ.exe','');
 QuarantineFile('C:\Program Files (x86)\punto.bat','');
 DeleteService('2B6A2B381');
 DeleteService('bd0001');
 DeleteService('bd0002');
 DeleteService('BDMWrench_x64');
 DeleteService('BDSafeBrowser');
 DeleteService('QMUdisk');
 DeleteService('TS888x64');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\TS888x64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\2B6A2B381.sys','32');
 DeleteFile('C:\Program Files (x86)\punto.bat','32');
 DeleteFile('C:\Users\Ekaterina\AppData\Roaming\WJUCZ.exe','32');
 DeleteFile('C:\Windows\Tasks\WJUCZ.job','32');
 DeleteFile('C:\Windows\system32\Tasks\754a8056-3fa6-471b-ab0c-83f6ebb77db9-1-6','64');
 DeleteFile('C:\Windows\system32\Tasks\754a8056-3fa6-471b-ab0c-83f6ebb77db9-6','64');
 DeleteFile('C:\Windows\system32\Tasks\754a8056-3fa6-471b-ab0c-83f6ebb77db9-7','64');
 DeleteFile('C:\Users\Ekaterina\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
 DeleteFile('C:\Users\Ekaterina\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\54FDB08F-5520-44FC-9673-98C28568D29C.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\12111700-F76E-4D04-A7C1-5AC299C09966','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\655A6976-73AD-40AB-BC9B-05022946D92F','64');
 DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\655A6976-73AD-40AB-BC9B-05022946D92F.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A12111700-F76E-4D04-A7C1-5AC299C09966','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A655A6976-73AD-40AB-BC9B-05022946D92F','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\SafeBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\WJUCZ','64');
 DeleteFile('C:\Users\Ekaterina\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

В письме пришло.

 

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

вoйти в интeрнeт.exe - not-a-virus:Downloader.Win32.LMN.afw

New potentially risk software was found in this file. It's detection will be included in the next update. Thank you for your help.

krbupdater-utility.exe - Trojan.Win32.ExtenBro.bmm

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"

ClearLNK-05.07.2016_12-33.log

CollectionLog-2016.07.05-13.04.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3294240474-2717639177-893809422-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=91072394_hao_pg
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
HKU\S-1-5-21-3294240474-2717639177-893809422-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0b7130c2e58f7a0e2a76b9b51caa0536&text={searchTerms}
HKU\S-1-5-21-3294240474-2717639177-893809422-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://letani.ru/?utm_source=startpage03&utm_content=d0e80e93385627aee1261bdf778ed4c5&utm_term=86BB509677B130E6E6FF3F48CCB6815B
HKU\S-1-5-21-3294240474-2717639177-893809422-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0b7130c2e58f7a0e2a76b9b51caa0536&text={searchTerms}
HKU\S-1-5-21-3294240474-2717639177-893809422-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3294240474-2717639177-893809422-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0b7130c2e58f7a0e2a76b9b51caa0536&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3294240474-2717639177-893809422-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0b7130c2e58f7a0e2a76b9b51caa0536&text=
SearchScopes: HKU\S-1-5-21-3294240474-2717639177-893809422-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541&q={searchTerms}
BHO-x32: No Name -> {68DE54BD-49C8-4982-BF5E-895C3124931A} -> No File
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0b7130c2e58f7a0e2a76b9b51caa0536&text= <==== ATTENTION
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1427277961&from=cmi&uid=WDCXWD3200BPVT-22ZEST0_WD-WXJ1AC0E1541E1541
CHR Extension: (Smart Browser) - C:\Users\Ekaterina\AppData\Local\Google\Chrome\User Data\Default\Extensions\iabeihobmhlgpkcgjiloemdbofjbdcic [2016-06-15]
OPR Extension: (No Name) - C:\Users\Ekaterina\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhnpmdabjgpimmnbmhefncbghknfegog [2016-02-08]
OPR Extension: (Smart Browser) - C:\Users\Ekaterina\AppData\Roaming\Opera Software\Opera Stable\Extensions\iabeihobmhlgpkcgjiloemdbofjbdcic [2016-06-15]
OPR Extension: (No Name) - C:\Users\Ekaterina\AppData\Roaming\Opera Software\Opera Stable\Extensions\iblenkmcolcdonmlfknbpbgjebabcoae [2016-06-10]
OPR Extension: (No Name) - C:\Users\Ekaterina\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-05-23]
OPR Extension: (No Name) - C:\Users\Ekaterina\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2016-04-21]
2016-07-01 18:33 - 2016-07-01 18:33 - 03148854 _____ C:\Users\Ekaterina\AppData\Roaming\04E2C51A04E2C51A.bmp
2016-07-01 18:33 - 2016-07-01 18:33 - 00002731 _____ C:\Users\Public\Desktop\README1.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README9.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README8.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README7.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README6.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README5.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README4.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README3.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README2.txt
2016-07-01 14:56 - 2016-07-01 14:56 - 00002731 _____ C:\README10.txt
2016-07-01 14:46 - 2016-07-01 19:49 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-07-01 14:46 - 2016-07-01 19:49 - 00000000 __SHD C:\ProgramData\Windows
2016-07-05 12:20 - 2015-06-04 10:39 - 00000000 ____D C:\Users\Все пользователи\KRB Updater Utility
2016-07-05 12:20 - 2015-06-04 10:39 - 00000000 ____D C:\ProgramData\KRB Updater Utility
2014-12-25 15:04 - 2014-12-25 15:04 - 0000113 ____H () C:\Program Files (x86)\diary.bat
2014-12-25 15:04 - 2014-04-24 18:17 - 0291128 ____H (ООО Яндекс) C:\Program Files (x86)\diаry.bаt.exe
2014-12-25 15:04 - 2014-12-25 15:04 - 0000115 ____H () C:\Program Files (x86)\layouts.bat
2014-12-25 15:04 - 2014-04-24 18:17 - 0034104 ____H (ООО Яндекс) C:\Program Files (x86)\lаyоuts.bаt.exe
2014-12-25 15:04 - 2014-12-25 15:04 - 0000110 ____H () C:\Program Files (x86)\ps.bat
2014-12-25 15:04 - 2014-04-24 18:17 - 1590584 ____H (ООО Яндекс) C:\Program Files (x86)\puntо.bаt.exe
2014-12-25 15:04 - 2014-12-25 15:04 - 0000116 ____H () C:\Program Files (x86)\WelcomeToPunto.bat
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
Task: {F49391CB-266B-48B8-A95F-313BEA5AE525} - \Microsoft\Windows\12111700-F76E-4D04-A7C1-5AC299C09966 -> No File <==== ATTENTION
Task: {C00F7209-A2C1-4F24-BEDA-0900183EEC50} - \extsetup -> No File <==== ATTENTION
Task: {95E40E24-F2DE-42E1-8FFB-84440F466639} - \SafeBrowser -> No File <==== ATTENTION
Task: {64553FE1-748B-48A2-BB0A-EE2A4D7B8E3A} - \754a8056-3fa6-471b-ab0c-83f6ebb77db9-7 -> No File <==== ATTENTION
Task: {6F71C3E9-4386-414A-BC5E-760BD61415CB} - \KRB Updater Utility -> No File <==== ATTENTION
Task: {5BCD193D-A7D3-4DFC-AD80-02D6886BDA5D} - \Microsoft\Windows\A655A6976-73AD-40AB-BC9B-05022946D92F -> No File <==== ATTENTION
Task: {04A8562F-01CC-415F-9DA7-61B422432B27} - \Microsoft\Windows\655A6976-73AD-40AB-BC9B-05022946D92F -> No File <==== ATTENTION
Task: {089CD9C9-14E2-4CFA-A8ED-C6EB6EC202BB} - \Microsoft\Windows\A12111700-F76E-4D04-A7C1-5AC299C09966 -> No File <==== ATTENTION
Task: {1AAB69EA-02E0-4FF5-AFF8-916F610C73B1} - \754a8056-3fa6-471b-ab0c-83f6ebb77db9-6 -> No File <==== ATTENTION
Task: {2F407D3C-8707-4BBC-A035-89CAD4DADABD} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {33EBEF2D-58A2-4BA6-932F-738D679B156A} - \754a8056-3fa6-471b-ab0c-83f6ebb77db9-1-6 -> No File <==== ATTENTION
Task: {3DCE282A-C2D2-49A7-9F5F-A2AEF06BA365} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
Task: {44241574-1F45-4CA5-B083-C4097D87D448} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • tom1
      От tom1
      Здравствуйте.
      Поймали шифровальщик, зашифровал файлы с расширением .wtch. После чего произошло, сказать затрудняюсь (возможно, был получен удаленный доступ к компьютеру, был найден на компьютере advanced port scanner). Помогите, пожалуйста, если есть возможность. Отчеты Farbar и зашифрованные файлы прикладываю. Злоумышленники требуют писать им на почту DecryptData@skiff.com.
      Файл самого шифровальщика обнаружен, готов предоставить.
      Addition.txt FRST.txt файлы.zip
    • Дмитрий Борисович
      От Дмитрий Борисович
      Приветствую!
      8 декабря, примерно в 20 часов была замечена активность шифровальщика.
      Выявлено шифрование файлов на всех активных компьютерах сети.
      Зашифрованные файлы с расширением - .loq
      В корне диска C:\ найден файл с раширением .txt следующего содержания:
       
      All Your Files Are Locked And Important Data Downloaded !

      Your Files Are No Longer Accessible Don't Waste Your Time, Without Our Decryption Program Nobody Can't Help You .
      If Payment Isn't Made After A While We Will Sell OR Publish Some Of Your Data . You Don't Have Much Time!

      Your ID : HFXGT
      If You Want To Restore Them Email Us : Evo.team1992@gmail.com
      If You Do Not Receive A Response Within 24 Hours, Send A Message To Our Second Email : Qqq113168@gmail.com
      To Decrypt Your Files You Need Buy Our Special Decrypter In Bitcoin .
      Every Day The Delay Increases The Price !! The Decryption Price Depends On How Fast You Write To Us Email.
      We Deliver The Decryptor Immediately After Payment , Please Write Your System ID In The Subject Of Your E-mail.
      What is the guarantee !
      Before Payment You Can Send Some Files For Decryption Test.
      If We Do Not Fulfill Our Obligations, No One Does Business With Us , Our Reputation Is Important To Us 
      It's Just Business To Get Benefits.
      ===============================================================================
      Attention !
      Do Not Rename,Modify Encrypted Files .
      Do Not Try To Recover Files With Free Decryptors Or Third-Party Programs And Antivirus Solutions Because 
      It May Make Decryption Harder Or Destroy Your Files Forever !
      ===============================================================================
      Buy Bitcoin !
      https://www.kraken.com/learn/buy-bitcoin-btc
      https://www.coinbase.com/how-to-buy/bitcoin
       
       
      Архив.zip
    • Saul
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
    • ovfilinov
      От ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
    • jserov96
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
×
×
  • Создать...