Перейти к содержанию

шифровальщик Trojan.encoder.7111 файлы зашифрованы в формате NO MORE RANSOM

Tox78
 Share

Рекомендуемые сообщения

Tox78 Новичок

Tox78

Опубликовано
Опубликовано (изменено)

Здравствуйте,

 

Получили письмо как со счётом от Ростелекома. Прошли по ссылке и схватил вирус.

 

Вместе с зашифрованными файлами в папках разместились 10 одинаковых текстовых файлов  с содержанием:

 

Bашu файлы былu зaшuфpованы.
Чтобы pacшuфpовать uх, Bам нeoбхoдимo omnравumь кoд:
37125D3B6D9CC28C565B|0
нa элеkmpoнный адpeс yvonne.vancese1982@gmail.com .
Далее вы noлучumе вcе неoбxодимые uнcmруkцuu.
Поnыткu pacшuфpoвать самосmoяmeльно нe npивeдym нu k чемy, кpомe безвoзврamнoй поmерu инфopмaцuu.
Eслu вы вcё же хотuте noпыmamьcя, то пpедвaрuтeльно cделaйme рeзеpвные konии файлoв, инaчe в cлyчaе
uх измeнeнuя pаcшuфровкa станem невoзможнoй ни nрu kаkиx yслoвияx.
Если вы нe noлyчuли omвета no вышеуказанному aдpесу в mечeниe 48 чacов (и mольkо в этом слyчае!),
воспoльзуйmecь фoрмой обраmнoй cвязи. Это можнo сделamь двyмя сnоcобaми:
1) Сkачaйmе u yстановuте Tor Browser по сcылke: https://www.torproject.org/download/download-easy.html.en
В aдреcной cтpоke Tor Browser-a ввeдumе aдpec:
u нaжмиmе Enter. Зaгpузиmся странuца c фоpмoй oбрaтнoй связи.
2) B любoм бpаузeрe nepейдuте пo oдному uз адpeсов:
 
Пункты 1 и 2 выполнил. Письмо, к сожалению, пока недоступно т.к. пользователь отключён от сети (во избежание...)
 
 
И ещё расшифровка возможна?

CollectionLog-2016.12.14-13.12.zip

Изменено пользователем Tox78
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Spybot - Search and Destroy деинсталлируйте.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(13);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Tox78 Новичок

Tox78

Опубликовано
  • Автор
Опубликовано

Здравствуйте.

 

Spybot - удалил.

 

AVZ - скрипт выполнил.

 

Логи от  Farbar Recovery Scan Tool прикладываю

Addition_14-12-2016 14.22.34.txt

FRST_14-12-2016 14.22.34.txt

Shortcut_14-12-2016 14.22.34.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3105242643-1672275219-54400343-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2016-12-13 16:06 - 2016-12-13 16:06 - 00004170 _____ C:\README9.txt
2016-12-13 16:06 - 2016-12-13 16:06 - 00004170 _____ C:\README8.txt
2016-12-13 16:06 - 2016-12-13 16:06 - 00004170 _____ C:\README7.txt
2016-12-13 16:06 - 2016-12-13 16:06 - 00004170 _____ C:\README6.txt
2016-12-13 16:06 - 2016-12-13 16:06 - 00004170 _____ C:\README5.txt
2016-12-13 16:06 - 2016-12-13 16:06 - 00004170 _____ C:\README4.txt
2016-12-13 16:06 - 2016-12-13 16:06 - 00004170 _____ C:\README3.txt
2016-12-13 16:06 - 2016-12-13 16:06 - 00004170 _____ C:\README2.txt
2016-12-13 16:06 - 2016-12-13 16:06 - 00004170 _____ C:\README10.txt
2016-12-13 16:06 - 2016-12-13 16:06 - 00004170 _____ C:\README1.txt
2016-12-13 16:05 - 2016-12-13 16:05 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-13 16:05 - 2016-12-13 16:05 - 00000000 __SHD C:\ProgramData\Windows
2016-12-14 14:12 - 2014-01-06 13:40 - 00000000 ____D C:\Users\Все пользователи\Spybot - Search & Destroy
2016-12-14 14:12 - 2014-01-06 13:40 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
2016-12-14 14:12 - 2014-01-06 13:40 - 00000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ALFGreat
      Шифровальщик BitLocker зашифровал все диски и файлы.
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Тимур М
      Шифровальщик Demetro9990@cock.li зашифровал все файлы на ПК
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
    • Лариса B
      King зашифровал файлы организации
      От Лариса B
      Добрый день!
      В локальную сеть попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      К сожалению пока не удалось понять, как он попал и где нахоится источник(. 
      Но сегодня  ночью, по времени - все файлы  оказались зашифрованы. 

      Прикладывают  файлы, согласно правилам зашифрованные файлы + требования.rar

      Подскажите пож-та 
      1. Как найти источник   заражения, сам шифровальщик, какие есть методы 
      2. Как можно дешифровать  данные файлы 
       
      Спасибо большое!
    • sntsnt
      Шифровальщик nigra зашифровал базы sql
      От sntsnt
      Здравствуйте. Сервер с базами SQL оказался зашифрован. С утра SQL сервер оказался выгруженным. Сервер включен 24/7. Все файлы имеют расширение nigra. Следов от NOD32 на компьютере вообще не нашел. В трее оказался запущенным AnyDesk. Взлом скорее всего произошел через RDP. Файлы ежедневного бэкапа баз SQL тоже зашифрованы. Резервные копии от акрониса тоже зашифрованы. Возможна ли расшифровка SQL баз или файлов бэкапа от акрониса в принципе?
      Шифрованные файлы.rar FRST.txt Addition.txt
    • hobbit86
      King Ransomware зашифровал файлы организации
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
×
×
  • Создать...