Перейти к содержанию

Зашифровались файлы no_more_ransom

asushnik
 Share

Рекомендуемые сообщения

asushnik Постоялец

asushnik

Опубликовано
Опубликовано (изменено)

KL_syscure.zipЗдравствуйте! Зашифровались файлы no_more_ransom

 

Вaшu фaйлы были зашифровaны.

Чтoбы pасшuфpоваmь их, Вам необходuмо отправить kод:
2B2F28FB6038DEABAA9A|0
нa элeкmронный адреc yvonne.vancese1982@gmail.com 
Изменено пользователем asushnik
Ссылка на комментарий
Поделиться на другие сайты
asushnik Постоялец

asushnik

Опубликовано
  • Автор
Опубликовано

Здравствуйте! 

Компьютер находится в домене и пользователь под которым поймали шифровальщика не с административной учетной записью, логи собирались под административной учеткой. Может стоит выйти из домена?

Предоставляю собранные логи.

CollectionLog-2017.02.13-17.00.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Может стоит выйти из домена?

Не нужно.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
CHR Extension: (No Name) - C:\Users\igor\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2016-06-22]
CHR Extension: (No Name) - C:\Users\igor\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-06-22]
CHR Extension: (No Name) - C:\Users\igor\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-06-22]
CHR Extension: (No Name) - C:\Users\igor\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-06-22]
CHR Extension: (No Name) - C:\Users\igor\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-06-22]
2017-02-13 14:04 - 2017-02-13 14:04 - 00000000 __SHD C:\Users\Все пользователи\services
2017-02-13 14:04 - 2017-02-13 14:04 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-02-13 14:04 - 2017-02-13 14:04 - 00000000 __SHD C:\ProgramData\services
2017-02-13 14:04 - 2017-02-13 14:04 - 00000000 __SHD C:\ProgramData\Csrss
2017-02-13 14:03 - 2017-02-13 14:03 - 03686454 _____ C:\Users\kredins\AppData\Roaming\76BAE0AD76BAE0AD.bmp
2017-02-13 14:03 - 2017-02-13 14:03 - 00004170 _____ C:\Users\kredins\Desktop\README9.txt
2017-02-13 14:03 - 2017-02-13 14:03 - 00004170 _____ C:\Users\kredins\Desktop\README8.txt
2017-02-13 14:03 - 2017-02-13 14:03 - 00004170 _____ C:\Users\kredins\Desktop\README7.txt
2017-02-13 14:03 - 2017-02-13 14:03 - 00004170 _____ C:\Users\kredins\Desktop\README6.txt
2017-02-13 14:03 - 2017-02-13 14:03 - 00004170 _____ C:\Users\kredins\Desktop\README5.txt
2017-02-13 14:03 - 2017-02-13 14:03 - 00004170 _____ C:\Users\kredins\Desktop\README4.txt
2017-02-13 14:03 - 2017-02-13 14:03 - 00004170 _____ C:\Users\kredins\Desktop\README3.txt
2017-02-13 14:03 - 2017-02-13 14:03 - 00004170 _____ C:\Users\kredins\Desktop\README2.txt
2017-02-13 14:03 - 2017-02-13 14:03 - 00004170 _____ C:\Users\kredins\Desktop\README10.txt
2017-02-13 14:03 - 2017-02-13 14:03 - 00004170 _____ C:\Users\kredins\Desktop\README1.txt
2017-02-13 13:47 - 2017-02-13 13:47 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-02-13 13:47 - 2017-02-13 13:47 - 00000000 __SHD C:\ProgramData\Windows
2017-02-13 14:04 - 2017-02-13 14:04 - 1497600 _____ () C:\Users\kredins\AppData\Local\Temp\2F97E632.exe
2017-02-13 14:04 - 2017-02-13 14:04 - 1032704 _____ (Microsoft Corporation) C:\Users\kredins\AppData\Local\Temp\D5CB92FC.exe
2017-02-13 14:04 - 2017-02-13 14:04 - 0887808 _____ (Microsoft Corporation) C:\Users\kredins\AppData\Local\Temp\FE8CBD3D.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
asushnik Постоялец

asushnik

Опубликовано
  • Автор
Опубликовано

К сожалению расшифровать не удалось. Но позже попробую отправить повторный запрос на расшифровку. Спасибо огромное за помощь!!!!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • InnaC
      Файлы зашифрованы .Demetro9990@cock.li
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • ligiray
      Зашифровали файлы на ***.kasper
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Николай Костиков
      Зашифрованы файлы 1С
      От Николай Костиков
      Доброго всем дня !!! Ребята помогите дешефратором , один паразит американских файлы 1 С у меня зашифровал. Пример файлов прикладываю к письму.
      user-192.png.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Эдуард Autofresh
      Зашифровались файлы, ELPACO-TEAM
      От Эдуард Autofresh
      Зашифровались все файлы и компьютеры, которые имели общую сетевую папку с зараженным компьютером (3 штуки). На первом зараженном компьютере добавился новый пользователь, и разделился жесткий диск. На первом зараженном компьютере диспетчер задач не открывается. Файлы зараженные представлены в архиве.  Файл шифровальщика не нашел.
       



      FRST.rar
×
×
  • Создать...