Перейти к содержанию

шифрование файлов no more ransom

Оксана Макарова

Автор Оксана Макарова
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1698126838-3041057561-1089411195-1002\...\Run: [mailruhomesearch] => C:\Users\Advant_Kadri\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe [3039448 2016-10-14] ()
HKU\S-1-5-21-1698126838-3041057561-1089411195-1002\...\Run: [zwmdhlwaym] => explorer "hxxp://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=021E91BB53896263FFE19F19283797BB&utm_d=20161014" <===== ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2016-12-09 16:42 - 2016-12-09 16:54 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2016-12-09 16:42 - 2016-12-09 16:54 - 00000000 __SHD C:\ProgramData\Csrss
2016-12-09 16:41 - 2016-12-09 16:41 - 03148854 _____ C:\Users\Advant_Kadri\AppData\Roaming\18B2385F18B2385F.bmp
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README9.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README8.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README7.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README6.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README5.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README4.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README3.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README2.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README10.txt
2016-12-09 16:39 - 2016-12-09 16:41 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-12-09 16:39 - 2016-12-09 16:41 - 00000000 __SHD C:\ProgramData\System32
2016-12-09 16:05 - 2016-12-09 16:54 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-09 16:05 - 2016-12-09 16:54 - 00000000 __SHD C:\ProgramData\Windows
2016-12-09 16:04 - 2016-12-09 16:05 - 00000000 ____D C:\Users\Advant_Kadri\Downloads\0812_akt (2)
2016-10-14 19:03 - 2016-10-14 19:03 - 00000000 ____D C:\Users\Advant_Kadri\AppData\Local\Вoйти в Интeрнет
2016-10-14 18:59 - 2016-10-14 18:59 - 00000000 ____D C:\Users\Advant_Kadri\AppData\Local\Поиcк в Интeрнете
C:\Users\admin\AppData\Local\Temp\libeay32.dll
C:\Users\admin\AppData\Local\Temp\msvcr120.dll
C:\Users\admin\AppData\Local\Temp\siinst.exe
C:\Users\admin\AppData\Local\Temp\sqlite3.dll
C:\Users\admin\AppData\Local\Temp\strings.dll
C:\Users\Advant_Kadri\AppData\Local\Temp\1LEb5KHILMAi.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\493078E9.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\4E28FF06.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\AcerDocsSetup.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\AcerPortalSetup.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\APNSetup.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\c0.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\coi1634.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\DBmBYthozLtc.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\oct7077.tmp.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\SkypeSetup.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\sWrk9xvZKfq8.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\vpypLVc2FNAJ.exe
C:\Users\Проектор\AppData\Local\Temp\oct119.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct2170.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct2AE4.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct35D2.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct8E37.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct8F6D.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\octBBBC.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\octC893.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\octEAF6.tmp.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты
Оксана Макарова

Оксана Макарова

Опубликовано
  • Автор
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1698126838-3041057561-1089411195-1002\...\Run: [mailruhomesearch] => C:\Users\Advant_Kadri\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe [3039448 2016-10-14] ()
HKU\S-1-5-21-1698126838-3041057561-1089411195-1002\...\Run: [zwmdhlwaym] => explorer "hxxp://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=021E91BB53896263FFE19F19283797BB&utm_d=20161014" <===== ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2016-12-09 16:42 - 2016-12-09 16:54 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2016-12-09 16:42 - 2016-12-09 16:54 - 00000000 __SHD C:\ProgramData\Csrss
2016-12-09 16:41 - 2016-12-09 16:41 - 03148854 _____ C:\Users\Advant_Kadri\AppData\Roaming\18B2385F18B2385F.bmp
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README9.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README8.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README7.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README6.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README5.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README4.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README3.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README2.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README10.txt
2016-12-09 16:39 - 2016-12-09 16:41 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-12-09 16:39 - 2016-12-09 16:41 - 00000000 __SHD C:\ProgramData\System32
2016-12-09 16:05 - 2016-12-09 16:54 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-09 16:05 - 2016-12-09 16:54 - 00000000 __SHD C:\ProgramData\Windows
2016-12-09 16:04 - 2016-12-09 16:05 - 00000000 ____D C:\Users\Advant_Kadri\Downloads\0812_akt (2)
2016-10-14 19:03 - 2016-10-14 19:03 - 00000000 ____D C:\Users\Advant_Kadri\AppData\Local\Вoйти в Интeрнет
2016-10-14 18:59 - 2016-10-14 18:59 - 00000000 ____D C:\Users\Advant_Kadri\AppData\Local\Поиcк в Интeрнете
C:\Users\admin\AppData\Local\Temp\libeay32.dll
C:\Users\admin\AppData\Local\Temp\msvcr120.dll
C:\Users\admin\AppData\Local\Temp\siinst.exe
C:\Users\admin\AppData\Local\Temp\sqlite3.dll
C:\Users\admin\AppData\Local\Temp\strings.dll
C:\Users\Advant_Kadri\AppData\Local\Temp\1LEb5KHILMAi.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\493078E9.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\4E28FF06.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\AcerDocsSetup.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\AcerPortalSetup.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\APNSetup.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\c0.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\coi1634.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\DBmBYthozLtc.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\oct7077.tmp.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\SkypeSetup.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\sWrk9xvZKfq8.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\vpypLVc2FNAJ.exe
C:\Users\Проектор\AppData\Local\Temp\oct119.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct2170.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct2AE4.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct35D2.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct8E37.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct8F6D.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\octBBBC.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\octC893.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\octEAF6.tmp.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

AV: Avast Antivirus (Enabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку своего антивируса.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • CredoLin
      Шифрование виртуалок и рабочих станций
      Автор CredoLin
      Здравствуйте!
       
      В ночь произошел инцидент, в котором выяснилось, что кто-то смог авторизоваться с помощью учетной записи Kaspersky, подобрать пароль от машин VMWare и зашифровать виртуальные машины, а также содержимое файловых систем.
      Файл с требованиями находится внутри архива.
      Доступ по RDP есть к этим виртуальным машинам есть. Сейчас отключено RDP.
       
      ИИ намекнул, что, возможно, это ALPHV, LockBit или BlackMatter.
       
      Прошу помочь в определении шифровальщика и возможность дешифровки.
       
      зашифрованные файлы.zip FRST.txt Addition.txt
    • KL FC Bot
      SleepWalk: сложная атака с кражей ключей шифрования | Блог Касперского
      Автор KL FC Bot
      У информационной безопасности есть много уровней сложности. На слуху эффективные, но технически простые атаки с использованием фишинговых рассылок и социального инжиниринга. Мы часто пишем о сложных таргетированных атаках с использованием уязвимостей в корпоративном программном обеспечении и сервисах. Атаки, использующие фундаментальные особенности работы аппаратного обеспечения, можно считать одними из самых сложных. Цена такой атаки высока, но в некоторых случаях это не останавливает злоумышленников.
      Исследователи из двух американских университетов недавно опубликовали научную работу, в которой показан интересный пример атаки на «железо». Используя стандартную функцию операционной системы, позволяющую переключаться между разными задачами, авторы исследования смогли разработать атаку SleepWalk, позволяющую взломать новейший алгоритм шифрования данных.
      Необходимые вводные: атаки по сторонним каналам
      SleepWalk относится к классу атак по сторонним каналам. Под «сторонним каналом» обычно понимается любой способ похитить секретную информацию, используя непрямое наблюдение. Например, представим, что вы не можете наблюдать за человеком, который набирает на клавиатуре пароль, но можете подслушивать. Это реалистичная атака, в которой сторонним каналом выступает звук нажатия на клавиши, — он выдает, какие именно буквы и символы были набраны. Классическим сторонним каналом является наблюдение за изменением энергопотребления вычислительной системы.
      Почему энергопотребление меняется? Здесь все просто: разные вычислительные задачи требуют разных ресурсов. При сложных вычислениях нагрузка на процессор и оперативную память будет максимальной, а при наборе текста в текстовом редакторе компьютер большую часть времени будет находиться в режиме простоя. В некоторых случаях изменение энергопотребления выдает секретную информацию, чаще всего — приватные ключи, используемые для шифрования данных. Точно так же как сейф с кодовым замком может выдавать правильное положение ротора еле слышным щелчком.
      Почему такие атаки сложны? Прежде всего, любой компьютер одновременно выполняет множество задач. Все они как-то влияют на потребление электроэнергии. Выделить из этого шума какую-то полезную информацию крайне непросто. Даже при исследовании простейших вычислительных устройств, таких как ридеры смарт-карт, исследователи делают сотни тысяч измерений за короткий период времени, повторяют эти измерения десятки и сотни раз, применяют сложные методы обработки сигнала, чтобы в итоге подтвердить или опровергнуть возможность атаки по стороннему каналу. Так вот, SleepWalk в некотором смысле упрощает такую работу: исследователи смогли извлечь полезную информацию, измеряя характер энергопотребления только один раз, во время так называемого переключения контекста.
      График изменения напряжения во время переключения контекста центрального процессора. Источник
       
      View the full article
    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • Денис А
      Все файлы зашифрованы шифровальщиком
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • Defa1t
      ШИФРУЕТ ФАЙЛЫ 9F2B
      Автор Defa1t
      Обратился коллега с зашифрованными файлами 9F2B, при открытии файлов через блокнот открывается лист с вымогателем
      Addition.txt FRST.txt Файлы 9F2B.zip
×
×
  • Создать...