Перейти к содержанию

файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048

ДмитрийПК
 Share

Рекомендуемые сообщения

ДмитрийПК Новичок

ДмитрийПК

Опубликовано
Опубликовано (изменено)

Доброго времени суток!

Через почту поймал зверя - файл вложения с расширением .exe.

Прописался во всех папках диска С, на других дисках его пока не вижу?

Файл - !!!!!!!!Как восстановить файлы!!!!!!!.txt пишет:

"Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048. 

Если хотите их вернуть отправьте один из зашифрованных файлов и файл keyvalue.bin на e-mail: unlock92@india.com 

Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR 

и с его помощью зайдите на сайт: http://ezulxxtwqos5g736.onion-  там будет указан действующий почтовый ящик. 

Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!"

 

некоторые файлы на диске С с расширением _blocked

 

Шаги с использованием: adwcleaner_6.030 и FRST делал сам, полученные файлы прикрепляю.

 

Прошу Вашей помощи.

PS.Файл с логами сейчас вышлю.

AdwCleanerS1.txt

AdwCleanerC0.txt

FRST.txt

Addition.txt

CollectionLog-2016.11.16-23.38.zip

Изменено пользователем ДмитрийПК
Ссылка на комментарий
Поделиться на другие сайты
Алексей Игуменов Продвинутый

Алексей Игуменов

Опубликовано
Опубликовано (изменено)

Строгое предупреждение от модератора thyrex
У Вас нет прав оказывать расширенную помощь в этом разделе
Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

HKU\S-1-5-21-2990209173-2116868610-776617580-1000\...\Run: [Netprotocol] => C:\Users\Дима\AppData\Roaming\netprotocol.exe

HKU\S-1-5-21-2990209173-2116868610-776617580-1000\...\Winlogon: [Userinit] C:\Users\1F43~1\AppData\Local\Temp\1SKKKKKKK.exe

HKU\S-1-5-21-2990209173-2116868610-776617580-1000\...\Winlogon: [Shell] C:\Users\1F43~1\AppData\Local\Temp\1SKKKKKKK.exe <==== ATTENTION

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!!!!!!!Как восстановить файлы!!!!!!!.txt [2016-11-15] ()

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue.bin [2016-11-15] ()

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue1.bin [2016-11-15] ()

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue2.bin [2016-11-15] ()

OPR Extension: (AS Magic Player) - C:\Users\Дима\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim [2015-07-26]

OPR Extension: (adblockforopera) - C:\Users\Дима\AppData\Roaming\Opera Software\Opera Stable\Extensions\olbflnbnnpnbcnpmfffikmlfojhflkjj [2013-11-30]

StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe hxxp://www.oursurfing.com/?type=sc&ts=1441993566&z=62d9caae127d2f68e216d16gazcz8gat9tbc5w1w7z&from=age&uid=ST500DM002-1BD142_W2A38SXYXXXXW2A38SXY

S3 4F97BA39A95205F2; \??\C:\Users\1F43~1\AppData\Local\Temp\C013A1C2F.sys [X]

S1 BAPIDRV; system32\DRIVERS\BAPIDRV.sys [X]

2016-11-15 19:20 - 2015-09-11 22:49 - 00000000 ____D C:\Program Files\c3b33406-0ed8-4dac-aec8-542a7083eb5d

2016-11-15 19:20 - 2015-09-11 22:39 - 00000000 ____D C:\Program Files\489184df-769b-4e5a-be64-3ae51fce433d

Task: C:\Windows\Tasks\REGYg1S0A1hC1VFnj0W9E.job => C:\Users\����\AppData\Roaming\REGYg1S0A1hC1VFnj0W9E.exe <==== ATTENTION

Task: C:\Windows\Tasks\Xe2LxsAjvrhV6h0.job => C:\Users\����\AppData\Roaming\Xe2LxsAjvrhV6h0.exe <==== ATTENTION



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты
ДмитрийПК Новичок

ДмитрийПК

Опубликовано
  • Автор
Опубликовано

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2990209173-2116868610-776617580-1000\...\Run: [Netprotocol] => C:\Users\Дима\AppData\Roaming\netprotocol.exe
HKU\S-1-5-21-2990209173-2116868610-776617580-1000\...\Winlogon: [Userinit] C:\Users\1F43~1\AppData\Local\Temp\1SKKKKKKK.exe
HKU\S-1-5-21-2990209173-2116868610-776617580-1000\...\Winlogon: [Shell] C:\Users\1F43~1\AppData\Local\Temp\1SKKKKKKK.exe <==== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!!!!!!!Как восстановить файлы!!!!!!!.txt [2016-11-15] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue.bin [2016-11-15] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue1.bin [2016-11-15] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keyvalue2.bin [2016-11-15] ()
OPR Extension: (AS Magic Player) - C:\Users\Дима\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim [2015-07-26]
OPR Extension: (adblockforopera) - C:\Users\Дима\AppData\Roaming\Opera Software\Opera Stable\Extensions\olbflnbnnpnbcnpmfffikmlfojhflkjj [2013-11-30]
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe hxxp://www.oursurfing.com/?type=sc&ts=1441993566&z=62d9caae127d2f68e216d16gazcz8gat9tbc5w1w7z&from=age&uid=ST500DM002-1BD142_W2A38SXYXXXXW2A38SXY
S3 4F97BA39A95205F2; \??\C:\Users\1F43~1\AppData\Local\Temp\C013A1C2F.sys [X]
S1 BAPIDRV; system32\DRIVERS\BAPIDRV.sys [X]
2016-11-15 19:20 - 2015-09-11 22:49 - 00000000 ____D C:\Program Files\c3b33406-0ed8-4dac-aec8-542a7083eb5d
2016-11-15 19:20 - 2015-09-11 22:39 - 00000000 ____D C:\Program Files\489184df-769b-4e5a-be64-3ae51fce433d
Task: C:\Windows\Tasks\REGYg1S0A1hC1VFnj0W9E.job => C:\Users\����\AppData\Roaming\REGYg1S0A1hC1VFnj0W9E.exe <==== ATTENTION
Task: C:\Windows\Tasks\Xe2LxsAjvrhV6h0.job => C:\Users\����\AppData\Roaming\Xe2LxsAjvrhV6h0.exe <==== ATTENTION
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Добрый день. Сделал, отправляю лог. Что дальше с системой? с шифрованными файлами? Удалять хвосты зверя в виде txt. bin файлов (типа keyvalue.bin)? Они например сами запускаются при открытии файлов xls: получается запускается сам файл оригинал и иксел-файлы вируса.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

С расшифровкой не поможем. Для удаления текстовых файлов от шифратора можете использовать эту https://download.bleepingcomputer.com/demonslay335/RansomNoteCleaner.zip программу. 

Ссылка на комментарий
Поделиться на другие сайты
ДмитрийПК Новичок

ДмитрийПК

Опубликовано
  • Автор
Опубликовано

С расшифровкой не поможем. Для удаления текстовых файлов от шифратора можете использовать эту https://download.bleepingcomputer.com/demonslay335/RansomNoteCleaner.zip программу. 

 

Спасибо большое Майкл!

И все-таки система сейчас безопасна? Тело вируса уничтожено? Остались только безвредные хвосты? Или вирус "дремлет" и может продолжить шифрование файлов.

Я к сожалению не спец по компам, а хотелось бы знать мнение эксперта в этом вопросе. Да и вредоносное письмо, это я Вам на почту вчера сбрасывал от arta-lex.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Татьяна Кравчук
      Файлы зашифрованы самым стойким алгоритмом шифрования AES
      От Татьяна Кравчук
      Доброго времени суток.
      Вирус зашифровал файлы на домашнем сервере. 
      Спасибо.
       
      Новая папка.rar Addition.txt FRST.txt Shortcut.txt
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов  
    • hobbit86
      King Ransomware зашифровал файлы организации
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • ALFGreat
      Шифровальщик BitLocker зашифровал все диски и файлы.
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Gillox
      Синие экраны во время использования компьютера
      От Gillox
      Добрый вечер. Сегодня сидел, смотрел видео и тут бац, вылетел синий экран с таким текстом внизу: "System_Thread_Exception_Not_Handled; что вызвало проблему: nvlddmkm.sys", после перезапуска, через 2 часа вылетел новый синий экран с ошибкой "kernel mode heap corruption". До синий экран с последней ошибкой тоже вылезал, но замечалось при играх в тяжелые игры. Как исправить эту ситуацию?
    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
×
×
  • Создать...