Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

все важные файлы на всех дисках вашего компьютера были зашифрованы

Natali111
 Поделиться

Рекомендуемые сообщения

Natali111 Новичок

Natali111

Опубликовано
Опубликовано

Пришло письмо с файлом, файл занес вирус в результате которого у меня черный экран с красной надписью "все важные файлы на всех дисках вашего компьютера были зашифрованы, подробности вы можете прочитать в файлах READMY"

этот файл содержит:

"Вaши фaйлы былu зашuфpованы.
Чтобы рaсшифpoвать ux, Baм нeoбходuмo оmправuть код:
129CA464E4722A8DA518|0
нa элeктронный aдpеc Novikov.Vavila@gmail.com .
Дaлее вы получumе вce необxoдимые инcmpyкции.
Пoпыmки pасшифpовamь caмоcтоятельно не nриведym нu k чeму, кpоме бeзвoзвpamнoй nоmepи uнфоpмацuu.
Eслu вы вcё жe хоmuтe noпыmaться, mo nредваpиmeльнo сдeлaйme peзеpвныe kоnuи фaйлов, инaче в случae
иx uзмeнeния pаcшифpовka стaнem нeвозмoжнoй нu npи кaкux ycловuях.
Eслu вы не пoлучили оmвета по вышeуkaзанномy aдрecу в теченue 48 чаcoв (и тольkо в этoм слyчae!),
воcnользуйmеcь фоpмой oбpатнoй cвязи. Этo можно сдeлaть двyмя cnoсобaмu:
1) Скачайmе и уcтaнoвuтe Tor Browser no ссылке: https://www.torproject.org/download/download-easy.html.en
В aдpeсной cтpокe Tor Browser-a ввeдиmе адpec:
http://cryptsen7fo43rr6.onion/
и нажмитe Enter. Зaгрузится cmpаницa с фоpмoй oбpаmнoй связи.
2) В любoм браузepе nерейдuте по oдному из адpеcoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/"

Так же все мои файлы превратились в нечитаемые и не открываемые текстовые коды.

 

post-43413-0-92695800-1484146737_thumb.png

post-43413-0-91576200-1484146744_thumb.png

post-43413-0-35055400-1484146751_thumb.png

Ссылка на комментарий
Поделиться на другие сайты
Natali111 Новичок

Natali111

Опубликовано
  • Автор
Опубликовано (изменено)

Я прогнала компьютер на вирусы с помощью касперского, логи собрать не получилось, даже отключив фаервол программа не запускаеться, я совсем не понимаю как вложить файлы протоколов в сообщение.

 

У меня получилось логи собрать, мне создать новое обращение?

Я что-то не правильно сделала? Я все исправлю, скажите что не так.

post-43413-0-46574100-1484148079_thumb.png

CollectionLog-2017.01.11-18.35.zip

Изменено пользователем Natali111
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты
Natali111 Новичок

Natali111

Опубликовано
  • Автор
Опубликовано

готово.

 

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

 

 

AdwCleanerC0.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
HKLM\...\Policies\Explorer\Run: [AppDownloads] => C:\Program Files (x86)\Common Files\3DF5B9FB-185B-4F52-96D6-E623A910E33D\9776193A-6547-49CD-A922-04D07E8C8F14.exe
HKU\S-1-5-21-1834436679-1952790463-1655803170-1000\...\Policies\Explorer: [] 
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1834436679-1952790463-1655803170-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Backup default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-10-22]
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Backup default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2015-11-18]
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Backup default\Extensions\ldgfbffkinooeloadekpmfoklnobpien [2016-02-23]
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Backup default\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2016-12-30]
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Backup default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-07-25]
CHR StartupUrls: Default -> "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=1F916BC780FF4BD629186F7EE63E94AF&utm_d=20161228"
OPR Extension: (No Name) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\emalgedpdlghbkikiaeocoblajamonoh [2016-02-09]
OPR Extension: (No Name) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\icejakkhehfppngiieninffokmlkhpib [2016-02-13]
OPR Extension: (No Name) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\jgpmhnmjbhgkhpbgelalfpplebgfjmbf [2016-01-20]
OPR Extension: (No Name) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\ldgfbffkinooeloadekpmfoklnobpien [2016-02-23]
OPR Extension: (No Name) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2016-03-05]
2017-01-11 09:30 - 2017-01-11 09:30 - 06220854 _____ C:\Users\Admin\AppData\Roaming\231D7E96231D7E96.bmp
2017-01-10 16:33 - 2017-01-11 10:23 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-01-10 16:33 - 2017-01-11 10:23 - 00000000 __SHD C:\ProgramData\Windows
2016-01-20 06:56 - 2016-01-20 06:56 - 0000000 _____ () C:\Users\Admin\AppData\Roaming\smw_inst
Task: {08646DDB-9AD3-46E1-94BE-A3362A02772E} - System32\Tasks\Microsoft\Windows\AB0BF1B63-CBD8-4548-BF20-474250875B6C => C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\E3559F41-2D65-4179-A93B-1F702F2EE88B.exe <==== ATTENTION
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты
Natali111 Новичок

Natali111

Опубликовано
  • Автор
Опубликовано

Благодарю, все известные мне пароли были сменены ( а зачем их было менять?), запрос написан и отправлен. Перед отправкой запроса я не прикрепила действующий код активации в разделе "Лицензии", так ,как использую пробную версию (30 дней) и такого кода у меня нет. Не смотря на это в ответ на запрос мне пришло авто- сообщение с дальнейшими инструкциями, скажите возможно ли, что мой запрос далее не будет рассмотрен из за отсутствия кода лицензии?

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

Благодарю, все известные мне пароли были сменены ( а зачем их было менять?

Поясняю: от вашего имени может рассылаться локер, который будет заражать других пользователей, а к вам потом с проверкой из соответствующих органов приедут. Вам этот геморрой нужен? Да и где гарантия того, что вашими учетными данными на компьютере не воспользуются злоумышленники? 

 

Не смотря на это в ответ на запрос мне пришло авто- сообщение с дальнейшими инструкциями, скажите возможно ли, что мой запрос далее не будет рассмотрен из за отсутствия кода лицензии?

Может быть он и будет рассмотрен, но по пробным версиям техподдержка не оказывается. 

Изменено пользователем mike 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • niktnt
      Зашифрованы BitLocker не системные диски
      Автор niktnt
      Добрый день.
      Шифровальщик загрузился на сервер из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\.
      На предположительном компьютере-источнике зашифрован и диск C:\
      Файлы о выкупе продолжают создаваться при старте системы.
      Addition.txt FRST.txt virus_bitlocker.zip
    • Бебра
      Как перенести файлы с одного диска на другой?
      Автор Бебра
      У меня есть несистемный HDD, он почти перестал работать, я попробовал перенести файлы с него на новый SSD при помощи HDD Raw Copy Tool, предварительно введя ПК в безопасный режим, но теперь многие данные на SSD повреждены и выдают «ошибка файловой системы», HDD ещё читается, но очень тормозит.
    • Александр КС
      Зашифровались файлы на компе и на сетевом диске.
      Автор Александр КС
      Здравствуйте. Столкнулись с шифровальщиком. 1 компьютер остался включенным на майские праздники. Судя по дате изменения файлов 4 дня зашифровывались файлы и он перекинулся на сетевой диск. 5 мая утром он начал шифровать файлы и на других компьютерах, после их включения. После отключения 1 компьютера от сети шифрование по сети остановилось. Антивирус увидел, что файл morgan.exe начал менять уже .exe файлы и был удален. Был отформатирован диск С и установлена новая windows. Но тысячи файлов остались зашифрованными. Логи, зараженные файлы и записку от злоумышленника прилагаю.
      Зашифрованные файлы и записка.rar Addition.txt FRST.txt
    • alexchernobylov
      Зашифровали диски на уровне разделов
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
×
×
  • Создать...