Перейти к содержанию
Викторина ко дню рождения Евгения Валентиновича Касперского
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

письмо: cчёт от ростелекома. итог: все файлы ******77DDA37.no_more_ransom

Дормидонд Евлампиевич

Автор Дормидонд Евлампиевич,
в Помощь в борьбе с шифровальщиками-вымогателями

 Share Подписчики 0

Рекомендуемые сообщения

Дормидонд Евлампиевич

Дормидонд Евлампиевич 0

Опубликовано
Опубликовано

Всем смышлёным ребятам физкульт привет!!

Тётенька на работе получила письмо и всё "что надо" открыла. 

 

-------- Пересылаемое сообщение --------

От кого: Шубин Сергей <pqg@ghe.ru>
Кому: 
Дата: Понедельник, 16 января 2017, 15:07 +04:00
Тема: gсчет
 

Добрый день!

Отправляю счет повторно:

 

 


==============================================================

 

В итоге все файлы документов превратились в шлак с расширением *.no_more_ransom
В корне логического диска десяток файлов README1.txt
С текстом:
===================================
Ваши фaйлы былu зашифрованы.
Чmобы рacшифрoваmь uх, Вам неoбходuмo omnрaвumь kод:
AE6A8345F87DE77DDA37|0
нa элеkmрoнный aдрeс yvonne.vancese1982@gmail.com .
Далее вы пoлyчuтe вcе необходuмые uнcmpуkциu.
Пoпыmku pacшифpовamь caмoстояmельно нe nрuвeдyт ни k чeму, кроме бeзвoзвраmнoй потeрu инфоpмациu.
Ecли вы вcё же хomuтe поnытаmься, то пpедвaрuтeльнo cделaйmе peзeрвные konиu файлов, uначe в cлyчае
uх uзмeненuя раcшuфpовka cmaнет невoзможной нu npи кaкuх yсловuяx.
Ecлu вы нe nолyчилu omвema no вышeуkaзанномy aдресу в теченue 48 чacoв (u тoлько в эmом cлyчae!),
восnoльзуйтeсь фopмой обpaтной cвязu. Это мoжно cделamь двyмя сnосoбaми:
1) Скачайmе и ycmановиmе Tor Browser no cсылке: https://www.torproject.org/download/download-easy.html.en
B aдрeснoй cтрокe Tor Browser-а введиmе aдpеc:
и нaжмuте Enter. 3аrpузuтся cmpаница c фopмoй обpamнoй cвязu.
2) B любом бpaузерe nеpейдuтe по oдномy uз адресов:
===================================

 

.Если будет настроение - большая просьба помочь. Может здоровье сохраним.. 

CollectionLog-2017.01.19-15.42.zip

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 044

Опубликовано
Опубликовано

И зачем вы открываете письма от неизвестных адресатов?

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
Дормидонд Евлампиевич

Дормидонд Евлампиевич 0

Опубликовано
  • Автор
Опубликовано (изменено)

И зачем вы открываете письма от неизвестных адресатов?

 

 В данном случае чудовищныи образом получение письма якобы от Ростелекома совпало с ожиданием от них же реальной инфрмации по доступу оплате и тп.. увы..  засада подстерегла... 

FRST.txt

Addition.txt

Изменено пользователем Дормидонд Евлампиевич
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 044

Опубликовано
Опубликовано

А посмотреть от кого пришло письмо не можете? Но ничего получите ценный урок и в будущем будете смотреть что открываете, я надеюсь.

 

От кого: Шубин Сергей <pqg@ghe.ru>

Тут никаким Ростелекомом и не пахнет, но некоторые наивные пользователи ведутся и на такую фигню.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll => No File
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README8.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README7.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README6.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README5.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README4.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README3.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README2.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README10.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README1.txt
2017-01-16 17:05 - 2017-01-16 17:05 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на сообщение
Поделиться на другие сайты
Дормидонд Евлампиевич

Дормидонд Евлампиевич 0

Опубликовано
  • Автор
Опубликовано

Fixlog.txt

А посмотреть от кого пришло письмо не можете? Но ничего получите ценный урок и в будущем будете смотреть что открываете, я надеюсь.
 

От кого: Шубин Сергей <pqg@ghe.ru>

Тут никаким Ростелекомом и не пахнет, но некоторые наивные пользователи ведутся и на такую фигню.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKU\S-1-5-21-2025429265-1078145449-682003330-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll => No File
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README8.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README7.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README6.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README5.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README4.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README3.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README2.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README10.txt
2017-01-16 17:06 - 2017-01-16 17:06 - 00004170 _____ C:\README1.txt
2017-01-16 17:05 - 2017-01-16 17:05 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 044

Опубликовано
Опубликовано

 

AV: Microsoft Security Essentials (Enabled - Up to date) {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса. В вашем случае это Microsoft.

Ссылка на сообщение
Поделиться на другие сайты
Дормидонд Евлампиевич

Дормидонд Евлампиевич 0

Опубликовано
  • Автор
Опубликовано

 

 

AV: Microsoft Security Essentials (Enabled - Up to date) {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса. В вашем случае это Microsoft.

 

Спасибо большое за помощь!

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • DimonD
      [РАСШИФРОВАНО] Поймали шифровальщик
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • iLuminate
      Подозрение на взлом сервера
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
    • JhonD
      шифровальщик Jami_decryptionguy
      От JhonD
      Добрый день, посмотрите, есть ли надежда на восстановление файлов. 
      Addition.txt CONTACT_US.txt FRST.txt АКТ на списание ГСМ.DOCX
    • upvpst
      DCHELP.org
      От upvpst
      Добрый день! В сеть проник зловред подробно описанный по ссылке https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html.
      Возможности зайти на сервер нет, так как файловые системы отображаются как нечитаемые. Пробуем вытащить файлы через R-Studio, Disk Drill и иные утилиты восстановления данных. Сталкивался ли кто-то еще с этими гадами? Есть ли выход?

×
×
  • Создать...