Перейти к содержанию

зашифровано с расширением .windows10


Рекомендуемые сообщения

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 9

Driver Booster 3.2

HomePageDefender

IObit Malware Fighter 3

IObit Uninstaller

Smart Defrag 4

Surfing Protection

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\homepagedefender\hpdefsrv.exe');
 QuarantineFile('c:\program files (x86)\homepagedefender\hpdefsrv.exe','');
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Users\Дракон\AppData\Local\Temp\8795.exe', '');
 QuarantineFile('C:\Users\Дракон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\Bola Soccer Star 2015.lnk', '');
 QuarantineFile('C:\Users\Дракон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\The Best Sports Games.lnk', '');
 DeleteFile('c:\program files (x86)\homepagedefender\hpdefsrv.exe','32');
 DeleteFile('C:\Windows\Tasks\Chrome Cleanup Tool logs upload retry.job', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "{64DD3691-86C1-4EB5-82BA-5EED7C2CFE42}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{88053F19-ECA6-4FA3-9FC6-F779D4D65FD2}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{B59C4404-C829-4B01-8DB3-FF7EB04FE47A}" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Users\Дракон\AppData\Local\Temp\8795.exe', '32');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Application Restart #0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Такое впечатление, что скрипт в AVZ не выполняли. Утилиту запускаете правой кнопкой от имени администратора?

Ссылка на комментарий
Поделиться на другие сайты

Да, вижу))

 

1.Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

2.

  • Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Re: вир [KLAN-4637396383]
 
 
Входящие
x
 
 
 
profile_mask2.png
newvirus@kaspersky.com
17:02 (6 мин. назад)
cleardot.gif
 
cleardot.gif
cleardot.gif
кому: мне
cleardot.gif
 
 
 
 
Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

Bola Soccer Star 2015.lnk,
The Best Sports Games.lnk

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.comhttp://www.viruslist.com"
 

Отчёт о работе AdwCleaner (by ToolsLib) 

Отчёт о работе  утилиты ClearLNK.

AdwCleanerS1.txt

ClearLNK-06.07.2016_17-16.log

Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки и отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2492386839-2906400686-1732784335-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: No Name -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> No File
BHO-x32: Canon Easy-WebPrint EX BHO -> {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} -> No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: No Name -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
Toolbar: HKLM-x32 - Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} -  No File
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\alofoboildbadlfhbeafcdmcineipchg [2016-03-27]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\bacoblgmbbmcidmflaidbhbgfkcclbkg [2016-04-05]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgnnegoaebonbmnkbgfpfohipapbihgf [2016-05-02]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccgdmikddjmaafgnpjlmhbjgifjphlnf [2016-05-02]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\cddhndoecgdimmehgpbackcljbomhnem [2016-04-05]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\eahebamiopdhefndnmappcihfajigkka [2015-12-01]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\fbppdmajnleplifecobbedmkhijdjabo [2016-04-05]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\hojolgcopcjlmbghkmpoiminomlmafbm [2016-05-02]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\jbobhkcilbkledlahnokhapbgjhjkhdl [2016-05-02]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\jhebffdmokifmibhikpancmcaigbakpl [2016-03-27]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\jlehaidnnmjjkhgbbiombcdifogolhap [2015-12-09]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpnjjlbngpejmmhgcaagljaomgnginml [2015-12-09]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\knkapnclbofjjgicpkfoagdjohlfjhpd [2016-02-07]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2016-05-08]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\lkgfemnodkdnenmfkblebnkjpckkjcae [2015-12-09]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\mpedbpkelbhcbkdaglillalioeeekbpb [2015-12-09]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhalnajmigjnpjpdbpkpgfhekbjmolhp [2016-01-12]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\nicgaccjjlngekkhnanadlfmlfdnggkm [2016-04-07]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-02]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\okehlnjpihomkdokiiafpejniofjaoom [2016-05-04]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\omghfjlpggmjjaagoclmmobgdodcjboh [2016-04-21]
2016-07-05 21:06 - 2016-07-05 21:06 - 03932214 _____ C:\Users\Дракон\AppData\Roaming\75CE718C75CE718C.bmp
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README9.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README8.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README7.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README6.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README5.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README4.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README3.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README2.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README10.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README1.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README9.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README8.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README7.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README6.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README5.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README4.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README3.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README2.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README10.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README1.txt
2016-07-05 13:01 - 2016-07-06 14:11 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-07-05 13:01 - 2016-07-06 14:11 - 00000000 __SHD C:\ProgramData\Windows
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README9.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README8.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README7.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README6.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README5.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README4.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README3.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README2.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README10.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README1.txt
2016-07-06 16:49 - 2016-01-27 08:41 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-07-06 16:49 - 2016-01-27 08:41 - 00000000 ____D C:\ProgramData\ProductData
2016-07-06 16:48 - 2016-01-27 08:41 - 00000000 ____D C:\Program Files (x86)\IObit
2016-07-06 15:26 - 2016-01-27 08:41 - 00000000 ____D C:\Users\Дракон\AppData\LocalLow\IObit
2016-07-06 15:26 - 2016-01-27 08:41 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-07-06 15:26 - 2016-01-27 08:41 - 00000000 ____D C:\ProgramData\IObit
2016-07-06 11:20 - 2016-01-27 08:41 - 00000000 ____D C:\Users\Дракон\AppData\Roaming\IObit
2012-05-31 00:46 - 2012-05-31 00:46 - 0000232 _____ () C:\Users\Дракон\AppData\Roaming\del.bat
2012-10-13 22:40 - 2013-01-13 21:14 - 0099384 _____ () C:\Users\Дракон\AppData\Roaming\inst.exe
2012-10-13 22:40 - 2013-01-13 21:14 - 0007859 _____ () C:\Users\Дракон\AppData\Roaming\pcouffin.cat
2012-10-13 22:40 - 2013-01-13 21:14 - 0001167 _____ () C:\Users\Дракон\AppData\Roaming\pcouffin.inf
2012-10-13 22:40 - 2013-01-13 21:14 - 0082816 _____ (VSO Software) C:\Users\Дракон\AppData\Roaming\pcouffin.sys
Task: {2511BBC2-DD10-4B69-9C74-56AE2D7004DA} - System32\Tasks\{2AABA20C-7C61-40B3-B771-975E96EF539B} => pcalua.exe -a C:\Users\Дракон\Downloads\ACTv111.exe -d C:\Users\Дракон\Downloads
Task: {2C884291-1BE6-4B6B-80A0-828316C850A4} - System32\Tasks\{64DD3691-86C1-4EB5-82BA-5EED7C2CFE42} => pcalua.exe -a C:\Users\Дракон\AppData\Local\Temp\Temp1_win61.ru-Realtek_HD_Audio_win7.zip\Vista_Win7_R241\Setup.exe
Task: {3BE0CFC2-29C8-468D-9F07-49D2135171E9} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
Task: {5BCDD936-4EE4-43C6-A8EB-D4F9B1069089} - System32\Tasks\{99CAA9FA-5457-4830-B41B-8D32570DD82E} => pcalua.exe -a C:\Users\Дракон\Downloads\hdaudio_1.00.00.59_xp_vista_win7.exe -d C:\Users\Дракон\Desktop
Task: {6BD1B5CB-77F1-4D76-9FE4-51C7ECC4B9CE} - System32\Tasks\{2E81C6E5-7DF7-4D2B-B0A6-F96C527D175A} => C:\Users\Дракон\Downloads\32bit_Vista_Win7_Win8_R270.exe
Task: {BB73CDBB-559A-425A-908A-2F89C908E4EB} - System32\Tasks\{88053F19-ECA6-4FA3-9FC6-F779D4D65FD2} => pcalua.exe -a C:\Users\E018~1\AppData\Local\Temp\Rar$EXa0.442\SoundMAX2000B_Audio_V610X6585_Windows7\setup.exe -d C:\Users\E018~1\AppData\Local\Temp\Rar$EXa0.442\SoundMAX2000B_Audio_V610X6585_Windows7\
Task: {BF3F7C8A-B7A6-4799-B564-A18E0A5C6711} - System32\Tasks\{B59C4404-C829-4B01-8DB3-FF7EB04FE47A} => pcalua.exe -a "C:\Users\Дракон\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2KECNVGA\hdaudio_1.00.00.59_xp_vista_win7.exe" -d C:\Users\Дракон\Desktop
Task: C:\Windows\Tasks\Driver Booster SkipUAC (Дракон).job => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: C:\Windows\Tasks\RunAsStdUser Task.job => C:\Program Files (x86)\IObit\Advanced SystemCare\NoteIcon.exe C:\Program Files (x86)\IObit\Advanced SystemCare\ASCTray.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • jserov96
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • Garand
      От Garand
      Windows Server 2012 R2
      Спокойно работали 29.11.2024  и в 09:40 перестали быть доступны сетевые файлы и появилась ошибка 1С.
      в текстовом файле указана почта для восстановления:
      Write to email: a38261062@gmail.com
       
      Во вложении текстовый файл и несколько зашифрованных файлов
      FILES_ENCRYPTED.rar Desktop.rar
    • tom1
      От tom1
      Здравствуйте.
      Поймали шифровальщик, зашифровал файлы с расширением .wtch. После чего произошло, сказать затрудняюсь (возможно, был получен удаленный доступ к компьютеру, был найден на компьютере advanced port scanner). Помогите, пожалуйста, если есть возможность. Отчеты Farbar и зашифрованные файлы прикладываю. Злоумышленники требуют писать им на почту DecryptData@skiff.com.
      Файл самого шифровальщика обнаружен, готов предоставить.
      Addition.txt FRST.txt файлы.zip
    • Дмитрий Борисович
      От Дмитрий Борисович
      Приветствую!
      8 декабря, примерно в 20 часов была замечена активность шифровальщика.
      Выявлено шифрование файлов на всех активных компьютерах сети.
      Зашифрованные файлы с расширением - .loq
      В корне диска C:\ найден файл с раширением .txt следующего содержания:
       
      All Your Files Are Locked And Important Data Downloaded !

      Your Files Are No Longer Accessible Don't Waste Your Time, Without Our Decryption Program Nobody Can't Help You .
      If Payment Isn't Made After A While We Will Sell OR Publish Some Of Your Data . You Don't Have Much Time!

      Your ID : HFXGT
      If You Want To Restore Them Email Us : Evo.team1992@gmail.com
      If You Do Not Receive A Response Within 24 Hours, Send A Message To Our Second Email : Qqq113168@gmail.com
      To Decrypt Your Files You Need Buy Our Special Decrypter In Bitcoin .
      Every Day The Delay Increases The Price !! The Decryption Price Depends On How Fast You Write To Us Email.
      We Deliver The Decryptor Immediately After Payment , Please Write Your System ID In The Subject Of Your E-mail.
      What is the guarantee !
      Before Payment You Can Send Some Files For Decryption Test.
      If We Do Not Fulfill Our Obligations, No One Does Business With Us , Our Reputation Is Important To Us 
      It's Just Business To Get Benefits.
      ===============================================================================
      Attention !
      Do Not Rename,Modify Encrypted Files .
      Do Not Try To Recover Files With Free Decryptors Or Third-Party Programs And Antivirus Solutions Because 
      It May Make Decryption Harder Or Destroy Your Files Forever !
      ===============================================================================
      Buy Bitcoin !
      https://www.kraken.com/learn/buy-bitcoin-btc
      https://www.coinbase.com/how-to-buy/bitcoin
       
       
      Архив.zip
    • 4ikotillo
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
×
×
  • Создать...