Перейти к содержанию

шифровальщик


Рекомендуемые сообщения

Доброе время суток, уважаемые специалисты. Взываю к Вашей помощи, файлы зашифрованы, подскажите есть ли шансы на расшифровку.


Вот что пришло: Ваш компьютер был заражен вирусом
Все Ваши документы и медиафайлы были заблокированы Для их восстановления необходимо купить Ваш уникальный ключ Инструкция по восстановлениюБудьте осторожны!
Предостережение


--------------------------------------------------------------------------------

В случае обращения за помощью к посторонним лицам, компьютерным сервисам или умельцам с форумов, скорее всего, Вас кинут на деньги Ключи подобрать или взломать невозможно - Wikipedia В лучшем случае, посредники работают через нас, делая большую наценку Процесс получения ключа Перейдите в раздел восстановления по ссылке:
http://lock.bz
Авторизируйтесь > Получите гарантии > Оплатите > Восстановитесь

--------------------------------------------------------------------------------

  Сроки покупки ключа ограничены, есть крайний срокДля восстановления от Вас необходим только VАULТ.KЕY. Он не вредоносный!Все процедуры восстановления проходят моментально и автоматически.Если нет доступа к сайту - пишите на почту vault.decrypt@gmail.com

Ссылка на комментарий
Поделиться на другие сайты

Доброе время суток, уважаемые специалисты. Взываю к Вашей помощи, файлы зашифрованы, подскажите есть ли шансы на расшифровку. 

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены

CollectionLog-2016.09.27-15.59.zip

Ссылка на комментарий
Поделиться на другие сайты

Целый зоопарк на компьютере. 

 

Деинсталлируйте:

Remote Desktop Access (VuuPC)
Unity Web Player
YAC(Yet Another Cleaner!)
Амиго - если сами себе его не ставили
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
Ссылка на комментарий
Поделиться на другие сайты

Скажите, у Вас разве этот отчет просили?

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1432541030&z=37770c6062af03e6c5523e8g1zdcfoaw6z8g9efofq&from=pcs&uid=WDCXWD5000AAKX-60U6AA0_WD-WCC2ESD5686656866&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1432541030&z=37770c6062af03e6c5523e8g1zdcfoaw6z8g9efofq&from=pcs&uid=WDCXWD5000AAKX-60U6AA0_WD-WCC2ESD5686656866&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1432541030&z=37770c6062af03e6c5523e8g1zdcfoaw6z8g9efofq&from=pcs&uid=WDCXWD5000AAKX-60U6AA0_WD-WCC2ESD5686656866&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1432541030&z=37770c6062af03e6c5523e8g1zdcfoaw6z8g9efofq&from=pcs&uid=WDCXWD5000AAKX-60U6AA0_WD-WCC2ESD5686656866&q={searchTerms}
HKU\S-1-5-21-2079253086-2908703129-2216400228-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=dspp&ts=1432541042&z=0a65710c362147f291070d6g1zdc1o4w8z5gfe9c0b&from=pcs&uid=WDCXWD5000AAKX-60U6AA0_WD-WCC2ESD5686656866&q={searchTerms}
HKU\S-1-5-21-2079253086-2908703129-2216400228-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1432541042&z=0a65710c362147f291070d6g1zdc1o4w8z5gfe9c0b&from=pcs&uid=WDCXWD5000AAKX-60U6AA0_WD-WCC2ESD5686656866&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2079253086-2908703129-2216400228-1000 -> 0950F46CAF0F86CD0F62B8FE99978537 URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=WDCXWD5000AAKX-60U6AA0_WD-WCC2ESD5686656866&ts=1432541058&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2079253086-2908703129-2216400228-1000 -> 6319D232859E796A79901D15413BEAAD URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=WDCXWD5000AAKX-60U6AA0_WD-WCC2ESD5686656866&ts=1432541058&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2079253086-2908703129-2216400228-1000 -> {117513C1-6909-4230-AD7C-E43D6B6FF3F5} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=WDCXWD5000AAKX-60U6AA0_WD-WCC2ESD5686656866&ts=1432541058&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2079253086-2908703129-2216400228-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=WDCXWD5000AAKX-60U6AA0_WD-WCC2ESD5686656866&ts=1432541058&type=default&q={searchTerms}
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => No File
FF Extension: (I Like It Extension) - C:\Users\Лайн\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{5F50F845-0528-401D-85D5-999E20B13DF5} [2014-12-09] [not signed]
FF Extension: (Adobe Flash Player) - C:\Users\Лайн\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24782}.xpi [2014-09-30] [not signed]
OPR Extension: (SuperMegaBest - find best prices) - C:\Users\Лайн\AppData\Roaming\Opera Software\Opera Stable\Extensions\cbbpicnbcjaeeenbmilcnaojfgnmlhhb [2015-05-27]
OPR Extension: (No Name) - C:\Users\Лайн\AppData\Roaming\Opera Software\Opera Stable\Extensions\keeoidllhdmjekfjecpdnhmmihljegdl [2014-11-25]
OPR Extension: (Adobe DTM Switch) - C:\Users\Лайн\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlgdemkdapolikbjimjajpmonpbpmipk [2014-11-06]
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
R1 {e6ca9971-30ed-444a-9489-82fca50b2062}Gw64; C:\Windows\System32\drivers\{e6ca9971-30ed-444a-9489-82fca50b2062}Gw64.sys [61064 2014-09-09] (StdLib)
S1 ftxpelyd; \??\C:\Windows\system32\drivers\ftxpelyd.sys [X]
S1 ilzrtzvp; \??\C:\Windows\system32\drivers\ilzrtzvp.sys [X]
S1 jwzxvioy; \??\C:\Windows\system32\drivers\jwzxvioy.sys [X]
S1 mifeltxa; \??\C:\Windows\system32\drivers\mifeltxa.sys [X]
S1 mmokilgq; \??\C:\Windows\system32\drivers\mmokilgq.sys [X]
file: C:\Users\Лайн\Downloads\Документация от 22.09.2016. Завизировано управляющим партнером ООО. ПРОВЕРЕНО _ Экспортировано из 1С-Бухгалтерия.d8c5af1.js
2016-09-26 11:29 - 2016-09-26 11:29 - 01860139 _____ C:\Users\Лайн\Downloads\Документация от 22.09.2016. Завизировано управляющим партнером ООО. ПРОВЕРЕНО _ Экспортировано из 1С-Бухгалтерия.d8c5af1.js
C:\Users\Лайн\AppData\Local\Temp\106e27c41b3.exe
C:\Users\Лайн\AppData\Local\Temp\aaNkccF7UXj3.exe
C:\Users\Лайн\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Лайн\AppData\Local\Temp\byELlIG6q2Bx.exe
C:\Users\Лайн\AppData\Local\Temp\downloader.exe
C:\Users\Лайн\AppData\Local\Temp\downloader_upd.exe
C:\Users\Лайн\AppData\Local\Temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmp_n9fwb.dll
C:\Users\Лайн\AppData\Local\Temp\duba.exe
C:\Users\Лайн\AppData\Local\Temp\ibdrIyaXNsgp.exe
C:\Users\Лайн\AppData\Local\Temp\iobitdownloader_installcube.exe
C:\Users\Лайн\AppData\Local\Temp\kometa_vd.exe
C:\Users\Лайн\AppData\Local\Temp\libeay32.dll
C:\Users\Лайн\AppData\Local\Temp\mailruhomesearchvbm.exe
C:\Users\Лайн\AppData\Local\Temp\mediaget-uninstaller.exe
C:\Users\Лайн\AppData\Local\Temp\msvcr120.dll
C:\Users\Лайн\AppData\Local\Temp\ObnoviSoft.exe
C:\Users\Лайн\AppData\Local\Temp\pcspeedup.exe
C:\Users\Лайн\AppData\Local\Temp\post1.exe
C:\Users\Лайн\AppData\Local\Temp\post2.dll
C:\Users\Лайн\AppData\Local\Temp\post2.exe
C:\Users\Лайн\AppData\Local\Temp\qweee.exe
C:\Users\Лайн\AppData\Local\Temp\sender.exe
C:\Users\Лайн\AppData\Local\Temp\Setup-bm.exe
C:\Users\Лайн\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\Лайн\AppData\Local\Temp\SETUP.exe
C:\Users\Лайн\AppData\Local\Temp\sqlite3.dll
C:\Users\Лайн\AppData\Local\Temp\Uninstall.exe
C:\Users\Лайн\AppData\Local\Temp\utt55FC.tmp.exe
C:\Users\Лайн\AppData\Local\Temp\utt70E0.tmp.exe
C:\Users\Лайн\AppData\Local\Temp\YandexWorking.exe
C:\Users\Лайн\AppData\Local\Temp\yupdate-exec-bm.exe
C:\Users\Лайн\AppData\Local\Temp\yupdate-exec-yabrowser.exe
Task: {14717481-D41A-482C-9A55-D45A7615335C} - System32\Tasks\Driver Booster SkipUAC (Лайн) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
MSCONFIG\startupreg: KometaAutoLaunch_512082A098CF36CA7D8A17C90F264C81 => "C:\Users\Лайн\AppData\Local\Kometa\Application\kometa.exe" --no-startup-window
MSCONFIG\startupreg: storegid => C:\Users\Лайн\AppData\Local\storegid\storegid.exe
MSCONFIG\startupreg: storegidUpdater => C:\Users\Лайн\AppData\Local\storegid\storegidup.exe



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • FineGad
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
×
×
  • Создать...