Перейти к содержанию

Шифровальщик rr0d

POMbI4
 Поделиться

Рекомендуемые сообщения

POMbI4

POMbI4

Опубликовано
Опубликовано

Добрый день.

 

Поймали вирус, причем на админский комп с админскими правами. Как результат - минус все файлы, базы и ежедневные бэкапы всего этого дела.

Вымогатели требуют 100 килорублей.

Есть ли возможность не платить уродам?

За помощь вознаградим.

Заранее спасибо.

CollectionLog-2017.02.27-12.56.zip

FRST.txt

Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Включите Восстановление системы.

 

Один из файлов "ПРОЧТИ_МЕНЯ.txt" и парочку небольших зашифрованных упакуйте и прикрепите к следующему сообщению.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
IFEO\osk.exe: [Debugger] C:\windows\system32\cmd.exe
Startup: C:\Users\kraevda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ПРОЧТИ_МЕНЯ.txt [2017-02-27] ()
Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ПРОЧТИ_МЕНЯ.txt [2017-02-27] ()
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-454056324-265450119-66056768-1146 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
Toolbar: HKU\S-1-5-21-454056324-265450119-66056768-1146 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
CHR Extension: (No Name) - C:\Users\sa\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2017-02-27]
CHR Extension: (No Name) - C:\Users\sa\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2017-02-27]
CHR Extension: (No Name) - C:\Users\sa\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2017-02-27]
CHR Extension: (No Name) - C:\Users\sa\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-02-27]
CHR Extension: (No Name) - C:\Users\sa\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2017-02-27]
CHR Extension: (No Name) - C:\Users\sa\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2017-02-27]
CHR Extension: (No Name) - C:\Users\sa\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2017-02-27]
CHR Extension: (No Name) - C:\Users\sa\AppData\Local\Google\Chrome\User Data\Default\Extensions\iiihlpikmpijdopbaegjibndhpgjmjfe [2017-02-27]
CHR Extension: (No Name) - C:\Users\sa\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2017-02-27]
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Windows\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Windows\Tasks\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Windows\SysWOW64\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Windows\SysWOW64\Drivers\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Windows\system\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Windows\Minidump\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Users\Пользователь\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Users\Пользователь\Downloads\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Users\Пользователь\Documents\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Users\Пользователь\Desktop\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Users\Пользователь\AppData\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Users\Пользователь\AppData\Roaming\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Users\Пользователь\AppData\LocalLow\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Users\Пользователь\AppData\Local\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Users\Пользователь\AppData\Local\Apps\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Users\sa\Downloads\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Users\sa\Documents\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Users\sa\Desktop\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Users\sa\AppData\Roaming\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Users\sa\AppData\Roaming\Microsoft\Windows\Start Menu\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Users\sa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:03 - 2017-02-27 03:03 - 00002138 _____ C:\Users\sa\AppData\LocalLow\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\sa\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\sa\AppData\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\sa\AppData\Local\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\Public\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\Public\Downloads\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\POMbI4\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\POMbI4\Downloads\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\POMbI4\Documents\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\POMbI4\Desktop\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\POMbI4\AppData\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\POMbI4\AppData\Roaming\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\POMbI4\AppData\Roaming\Microsoft\Windows\Start Menu\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\POMbI4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\POMbI4\AppData\LocalLow\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\POMbI4\AppData\Local\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\kraevda\Downloads\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\kraevda\Documents\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\kraevda\Desktop\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\kraevda\AppData\Roaming\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\kraevda\AppData\Roaming\Microsoft\Windows\Start Menu\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\kraevda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ПРОЧТИ_МЕНЯ.txt
2017-02-27 03:00 - 2017-02-27 03:00 - 00002138 _____ C:\Users\kraevda\AppData\LocalLow\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Все пользователи\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Public\Documents\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Public\Desktop\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\kraevda\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\kraevda\AppData\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\kraevda\AppData\Local\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Default\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Default\Downloads\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Default\Documents\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Default\Desktop\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Default\AppData\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Default\AppData\Roaming\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Default\AppData\Local\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Default User\Downloads\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Default User\Documents\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Default User\Desktop\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Default User\AppData\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Default User\AppData\Roaming\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\Users\Default User\AppData\Local\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\ProgramData\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\ProgramData\Microsoft\Windows\Start Menu\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:59 - 2017-02-27 02:59 - 00002138 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:58 - 2017-02-27 02:58 - 00002138 _____ C:\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:58 - 2017-02-27 02:58 - 00002138 _____ C:\Program Files\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:58 - 2017-02-27 02:58 - 00002138 _____ C:\Program Files\Common Files\ПРОЧТИ_МЕНЯ.txt
2017-02-27 02:58 - 2017-02-27 02:58 - 00002138 _____ C:\Program Files (x86)\ПРОЧТИ_МЕНЯ.txt
AlternateDataStreams: C:\Users\sa\Local Settings:wa [178]
AlternateDataStreams: C:\Users\sa\AppData\Local:wa [178]
AlternateDataStreams: C:\Users\sa\AppData\Local\Application Data:wa [178]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Sandor

Sandor

Опубликовано
Опубликовано

Нет. Для этого типа вымогателя пока нет "лекарства".

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • moldovan
      Вирус шифровальщик UIWIX
      Автор moldovan
      Все файлы (аудио, видео, фото) стали с расширением UIWIX. Появился на рабочем столе файл с названием _DECODE_FILES, а содержимое такое:
       
      >>> ВСЕ ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАБЛОКИРОВАНЫ <<<
        Ваш персональный код: 2156908470   Чтобы расшифровать ваши файлы, вам необходимо приобрести специальное программное обеспечение. Не пытайтесь декодировать или модифицировать файлы, это может быть нарушено. Для восстановления данных следуйте инструкциям!   Вы можете узнать больше на этом сайте: https://4ujngbdqqm6t2c53.onion.to https://4ujngbdqqm6t2c53.onion.cab https://4ujngbdqqm6t2c53.onion.nu   Если ресурс недоступен в течение длительного времени для установки и использования браузера tor. После запуска браузера Tor вам нужно открыть эту ссылку http://4ujngbdqqm6t2c53.onion 
      CollectionLog-2017.05.18-19.47.zip
    • director@ck66.ru
      Вирус helppppppp@meta.ua
      Автор director@ck66.ru
      Добрый день. Сегодня неожиданно обнаружили шифровальщика. Все файлы с расширением - helppppppp@meta.ua
      Нашли файл к текстом "Для расшифровки пишите: helppppppp@meta.ua Укажите ПИН: 65"
       
      В различных формах сделали как написано. вот что у нас есть. Частично есть файлы - первичное и зашифрованное состояние.
      WHATAFUCK.txt
      CollectionLog-2017.05.19-11.01.zip
      п 4-5.rar
    • Nikols
      Меня атаковал шифровальщик
      Автор Nikols
      Сегодня меня атаковал шифровальщик, главная потеря база 1с, у меня не было рез. копий и антивируса нормального. Прилагаю скриншот вымогателей, посоветуйте что это за вирус и можно ли спасти эту базу
    • mupts
      Зашифрованы файлы на ПК
      Автор mupts
      По почте подхватили шифровальщик, касперский определил как Trojan-Ransom.Win32.Gen.duh и перенёс в карантин, но файлы успели пострадать. Расширение у файлов не поменялось, но открыть их невозможно, говорит о повреждении файлов.
       
      Пострадали как файлы ворда и экселя, так и файлы pdf с архивами. Пострадали причем файлы только на жестком диске, на сетевом диске файлы открываются, хотя у пользователя есть доступ на редактирования своей сетевой папки.
       
      В папках где есть зашифрованные файлы, создаётся файл: README_NAN5qITp.html
       
      Прошу помочь, заранее спасибо.
      CollectionLog-2017.05.12-15.01.zip
      README_NAN5qITp.html
    • kravtsov
      Помогите с расшифровкой Trojan.Win32.Deshacop.fow
      Автор kravtsov
      Доброго времени суток!
       
      Словили шифровальщик, Касперский говорит, что: Trojan.Win32.Deshacop.fow
      Есть ли возможность подобрать дешифратор?
       
      В прикрепленном архиве:
      Сам шифровальщик, пароль на архив virus
      Файл с требованиями в нем же и сгенерированный ID, пароль на архив virus
      Зашифрованный файл с оригиналом
      Отчеты FRST
       
      Заранее благодарен!
×
×
  • Создать...