Перейти к содержанию

Шифровальщик. encryptss77@gmail.com

krirpo
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\Fonts\encryptss77@gmail.com.e0cryptss77@gmail.com.e0cr2ptss77@gmail.com.20cr0ptss77@gmail.com.90cr1ptss77@gma4l.co1.81cr6pt3477@g013fms_metadata.exe', '');
 QuarantineFile('C:\Windows\Fonts\encryptss77@gmail.com.e0cryptss77@gmail.com.e0cr2ptss77@gmail.com.20cr0ptss77@gmail.com.90cr1ptss77@gma4l.co1.81cr6pt3477@g013StaticCache.exe', '');
 DeleteFile('C:\Windows\Fonts\encryptss77@gmail.com.e0cryptss77@gmail.com.e0cr2ptss77@gmail.com.20cr0ptss77@gmail.com.90cr1ptss77@gma4l.co1.81cr6pt3477@g013fms_metadata.exe', '32');
 DeleteFile('C:\Windows\Fonts\encryptss77@gmail.com.e0cryptss77@gmail.com.e0cr2ptss77@gmail.com.20cr0ptss77@gmail.com.90cr1ptss77@gma4l.co1.81cr6pt3477@g013StaticCache.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
krirpo

krirpo

Опубликовано
  • Автор
Опубликовано

Вот что получил:

 

krirpo [KLAN-5230342442]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение
содержит информацию о том, какие вердикты на файлы (если таковые есть в
письме) выносит Антивирус с последними обновлениями. 

encryptss77@gmail.com.e0cryptss77@gmail.com.e0cr2ptss77@gmail.com.20cr0ptss7
7@gmail.com.90cr1ptss77@gma4l.co1.81cr6pt3477@g013fms_metadata.exe,
encryptss77@gmail.com.e0cryptss77@gmail.com.e0cr2ptss77@gmail.com.20cr0ptss7
7@gmail.com.90cr1ptss77@gma4l.co1.81cr6pt3477@g013StaticCache.exe

Системе приёма писем не удалось распаковать эти архивы в автоматическом
режиме. 

С уважением, Лаборатория Касперского

CollectionLog-2016.10.24-16.02.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте и распакуйте прикрепленный fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

fixlist.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Образец зашифрованного файла пришлите 

 

(к сведению - зашли по RDP, создали пользователя SYSTE╠ (S-1-5-21-2888896737-1945800651-1587599494-1005 - Limited - Enabled), из-под него и архивировали)

 

И папку с карантином FRST выложите на www.sendspace.com и пришлите ссылку

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Владимир Д.
      Защифровали компьютер. [Rdpdik6@gmail.com].lockedfile
      Автор Владимир Д.
      В выходные подобрали пароль от входа через удаленный рабочий стол и зашифровали компьютер. Также третьими лицами были внесены изменения в систему, при загрузке появляется сообщение (см. Изображение WhatsApp 2025-08-11.jpg), а вход под другой учетной записи не возможен, ошибка - Службе "Служба профилей пользователей" не удалось войти в систему. Невозможно загрузить профиль пользователя.
      Сканирование Farbar Recovery Scan Tool производилось из среды восстановления Windows.
       

      FRST.rar
    • fastheel
      Шифровальщик
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
    • aleksey76
      Поймал шифровальщик с отсылкой на этот адрес Rdpdik6@gmail.com. Прошу помощи в расшифровке.
      Автор aleksey76
      архив.7z
    • Artyom1990
      Подкинули шифровальщик, ни один антивирус его не находит. .[Rdpdik6@gmail.com].lockedfile
      Автор Artyom1990
      Здравствуйте, прошу помочь, подхватили шифровальщик, не могу ни удалить ни расшифровать файлы.
      .[Rdpdik6@gmail.com].lockedfile
      анкета сокращенная.pdf.[Rdpdik6@gmail.com]
      SearchReg.txt Addition.txt FRST.txt
      Это то что отправил вымогатель.
      #Read-for-recovery.txt
      Это то что отправил вымогатель.
    • KOHb39
      Шифровальщик blackFL
      Автор KOHb39
      Словили этот злополучный шифровальщик.
      На одной машине удалось изолировать его ехе файл судя по дате создания, файл гулял по ПК в сети.
      Может ли это как-то помочь в расшифровке? Кому передать и каким способом?
×
×
  • Создать...