Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

письмо: cчёт от ростелекома. итог: все файлы ******77DDA37.no_more_ransom

Дормидонд Евлампиевич

Автор Дормидонд Евлампиевич
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Дормидонд Евлампиевич Новичок

Дормидонд Евлампиевич

Опубликовано
Опубликовано

Всем смышлёным ребятам физкульт привет!!

Тётенька на работе получила письмо и всё "что надо" открыла. 

 

-------- Пересылаемое сообщение --------

От кого: Шубин Сергей <pqg@ghe.ru>
Кому: 
Дата: Понедельник, 16 января 2017, 15:07 +04:00
Тема: gсчет
 

Добрый день!

Отправляю счет повторно:

 

 


==============================================================

 

В итоге все файлы документов превратились в шлак с расширением *.no_more_ransom
В корне логического диска десяток файлов README1.txt
С текстом:
===================================
Ваши фaйлы былu зашифрованы.
Чmобы рacшифрoваmь uх, Вам неoбходuмo omnрaвumь kод:
AE6A8345F87DE77DDA37|0
нa элеkmрoнный aдрeс yvonne.vancese1982@gmail.com .
Далее вы пoлyчuтe вcе необходuмые uнcmpуkциu.
Пoпыmku pacшифpовamь caмoстояmельно нe nрuвeдyт ни k чeму, кроме бeзвoзвраmнoй потeрu инфоpмациu.
Ecли вы вcё же хomuтe поnытаmься, то пpедвaрuтeльнo cделaйmе peзeрвные konиu файлов, uначe в cлyчае
uх uзмeненuя раcшuфpовka cmaнет невoзможной нu npи кaкuх yсловuяx.
Ecлu вы нe nолyчилu omвema no вышeуkaзанномy aдресу в теченue 48 чacoв (u тoлько в эmом cлyчae!),
восnoльзуйтeсь фopмой обpaтной cвязu. Это мoжно cделamь двyмя сnосoбaми:
1) Скачайmе и ycmановиmе Tor Browser no cсылке: https://www.torproject.org/download/download-easy.html.en
B aдрeснoй cтрокe Tor Browser-а введиmе aдpеc:
и нaжмuте Enter. 3аrpузuтся cmpаница c фopмoй обpamнoй cвязu.
2) B любом бpaузерe nеpейдuтe по oдномy uз адресов:
===================================

 

.Если будет настроение - большая просьба помочь. Может здоровье сохраним.. 

CollectionLog-2017.01.19-15.42.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

И зачем вы открываете письма от неизвестных адресатов?

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
Дормидонд Евлампиевич Новичок

Дормидонд Евлампиевич

Опубликовано
  • Автор
Опубликовано (изменено)

И зачем вы открываете письма от неизвестных адресатов?

 

 В данном случае чудовищныи образом получение письма якобы от Ростелекома совпало с ожиданием от них же реальной инфрмации по доступу оплате и тп.. увы..  засада подстерегла... 

FRST.txt

Addition.txt

Изменено пользователем Дормидонд Евлампиевич
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

А посмотреть от кого пришло письмо не можете? Но ничего получите ценный урок и в будущем будете смотреть что открываете, я надеюсь.

 

От кого: Шубин Сергей <pqg@ghe.ru>

Тут никаким Ростелекомом и не пахнет, но некоторые наивные пользователи ведутся и на такую фигню.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll => No File
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README8.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README7.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README6.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README5.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README4.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README3.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README2.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README10.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README1.txt
2017-01-16 17:05 - 2017-01-16 17:05 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты
Дормидонд Евлампиевич Новичок

Дормидонд Евлампиевич

Опубликовано
  • Автор
Опубликовано

Fixlog.txt

А посмотреть от кого пришло письмо не можете? Но ничего получите ценный урок и в будущем будете смотреть что открываете, я надеюсь.
 

От кого: Шубин Сергей <pqg@ghe.ru>

Тут никаким Ростелекомом и не пахнет, но некоторые наивные пользователи ведутся и на такую фигню.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll => No File
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README8.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README7.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README6.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README5.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README4.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README3.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README2.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README10.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README1.txt
2017-01-16 17:05 - 2017-01-16 17:05 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

AV: Microsoft Security Essentials (Enabled - Up to date) {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса. В вашем случае это Microsoft.

Ссылка на комментарий
Поделиться на другие сайты
Дормидонд Евлампиевич Новичок

Дормидонд Евлампиевич

Опубликовано
  • Автор
Опубликовано

 

 

AV: Microsoft Security Essentials (Enabled - Up to date) {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса. В вашем случае это Microsoft.

 

Спасибо большое за помощь!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alexxxxx
      У меня РАТ файл
      Автор Alexxxxx
      Я установил РАТ файл случайно 
      По ту сторону вируса со мной связался человек он говорит что у меня установлен dropper и bootkit вместе с rat вирусом он пытался получить доступ к аккаунтам , у некоторых я поменял пароль и отключил интернет кабель, что мне делать
    • MiStr
      Итоги конкурса по разработке Telegram-бота Kaspersky Club
      Автор MiStr
      В апреле 2025 года мы запустили конкурс по разработке Telegram-бота Kaspersky Club. Участникам конкурса необходимо было на программной платформе Node.js разработать Telegram-бот в соответствии с установленной структурой и техническим заданием.
       
      На суд жюри поступили три Telegram-бота следующих авторов:
      @7Glasses (в публичном доступе размещён не был)  @santax: t.me/vovka_users_helper_bot @den: t.me/betaclubkbot  
      Чей Telegram-бот в итоге признан лучшим?  Сегодня пришло время подвести итоги конкурса. В результате изучения функционала Telegram-ботов, оценки качества их реализации администрация клуба приняла решение распределить участников по призовым местам в следующем порядке:
       
      Первое место – @santax, который получает приглашение на празднование 19-летия клуба.
      Второе место – @den, и его приз 10 000 клабов.
      Третьей место – принято решение не присуждать.
      Поощрительный приз за разработку Telegram-бота, не занявшего призовое место, – 2 500 клабов. И его получает @7Glasses.
       
       
      Благодарим каждого участника за разработку Telegram-бота!  В ближайшее время будет объявлено расширенное бета-тестирование Telegram-бота @santax. Следите за новостями!
    • Serhio0606
      Проверка файла
      Автор Serhio0606
      Здравствуйте, хотел скачать игру, но «Касперский» посчитал, что в файле-установщике есть вирус ( UDS:DangerousObject.Multi.Generic ). Я почитал про это в интернете и узнал, что он не всегда бывает вирусом, и чтобы проверить, можно отправить файл на форум, где специалисты вручную проверят его на наличие вирусов. Помогите, пожалуйста!
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
       
      Строгое предупреждение от модератора Mark D. Pearlstone На форуме запрещено размещать вредоносные и потенциально вредоносные файлы и ссылки на них.
       
    • Sgorick
      Переписанные файлы
      Автор Sgorick
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv я с помощью роликов переделал. bits существует в двух экземплярах, один из которых был bkp, но потом стал обычным.
      FRST.txt Addition.txt CollectionLog-2025.06.07-20.41.zip
    • itman
      История про зашифрованные файлы.
      Автор itman
      Добрый день всем! Хочу поведать вам всем поучительную историю как делать НЕ НАДО!!! В апреле месяце подцепили вирус -шифровальщик! Утром пришли  пользователи, а там все зашифровано на 3 севаках и 2х локалках на которых была расшаренная какая-то папка!! печаль !!! ну а что делать?! благо сисадмин делал копию раз в месяц акрониксом всех серверов, а бухгалтер помимо всего копии на внешний hdd каждое утро и хдд этот хранил в сейфе! (рекомендую всем бухгалтерам так делать!!!) и вот утром сисадмину звонок: -ААА!! Все пропало!! Что делать???? ничего не работает!!!  Помоги!!! и проч))) ну что проснулся от и начал смотреть что все таки произошло! на каждом из серваков при запуске вот такой текст: Encrypted by trust
       Email us for recovery: Rdpdik6@gmail.com
       In case of no answer, send to this email: Rdpp771@gmail.com
      Your unqiue ID:  писать не буду.
       Почти  все файлы (кроме *.dll и тому подобных и системных зашифрованы и переименованы по формуле имя.расширение. [Rdpdik6@gmail.com].lockedfile) и в каждой папке файлик txt c вот таким содержимым:
       Email 1:
      Rdpdik6@gmail.com
      Email 2:
      Rdpp771@gmail.com
      Send messages to both emails at the same time
      So send messages to our emails, check your spam folder every few hours
      ID: эту строчку сотру на всякий случай)
      If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
      Then send us a message with a new email
      Ну сисадмин начал заниматься восстановлением копии то есть пусть месячные но все же копии а базы 1с так вообще вчерашние!!!  (а это самое главное!) прежде чем все восстанавливать сделал копию того что зашифровали а мало ли)) ну и параллельно всё-таки решил он написать этим недо людям (медикам на букву П), что так и так копии есть ущерб не большой на то что пока будет восстанавливаться копия уйдет время давайте разойдемся все миром и в итоге договорились на 30 баксах. Сисадмин им перевел на их кошелек, а они его кинули ни хрена они ему не прислали!!!!
      Прошло какое-то время (месяца полтора!) и тут пользователи посмотрели что у одного там пара доков осталась в общей папке уже после того как делалась копия у другого тоже какие-то доки  у третьего вообще фото с корпоратива и подумали они что всё-таки давай заплатим этим  людям нетрадиционной ориентации) сумму которую они просят! Скинулись толпой. Вот на переговоры опять отправили сисадмина (как жаль его)! Опять шли переговоры пару дней а то и больше ну вроде нашли они компромисс с шантажистами в размере 250$ те опять прислали адрес куда переводить деньги причем второй раз без гарантий! Типа из всех гарантий попросили прислать любой зашифрованный файл не более мегабайта и они покажут что всё-таки могут расшифровать. Отправили им какой-то pdf они в ответ скрин файла только весь замазанный видно только пару слов по которым надо только больше догадываться! По итогу  Он им опять перевел общий банк:
      Получаете:
      200.0813 Tether TRC20 USDT
      На счет:
      TBgx7szAXYNSwPJz1Ama2K85kTXrCcsnG1
       
      И? что вы думаете? Эти деятели пишут:
      Sinior (это ник в телеге одного из шантажистов )
      Deposit $50
      Sinior
      I won't give you the key until you pay me $50.
      Типа вы не доплатили 50 баксов!! Вот так уважаемые читатели этого поста ни в коем случае не вздумайте им платить так как они вам все равно ничего не пришлют!!! А деньги вы потеряете!!! И ни одного файла не расшифруете там рассчитано не на то чтоб найти компромисс а на то чтоб выдурить с вас побольше денег!!!!!!!
      P.S.    Делайте резервные копии и храните их на внешних hhd  и не оставляйте их подключенными к компьютеру! Сделал копию и отключай да не удобно зато надежно!!!! Всем удачи!!!!
       
      Сообщение от модератора thyrex Перенесено из раздела по шифровальщикам
       
×
×
  • Создать...