Перейти к содержанию

Шифровальщик hellomyfriend@meta.ua

diman_cs
 Поделиться

Рекомендуемые сообщения

diman_cs

diman_cs

Опубликовано
Опубликовано (изменено)

Добрый день, 


 


Появился еще один шифровальщик, по нему информации пока не нашел. К расширению зашифрованных файлов вирус добавил "_hellomyfriend@meta.ua" и в каждой директории создал текстовый документ INSTRUCTX.txt с содержанием "Для расшифровки пишите на mail: hellomyfriend@meta.ua PIN: [XX]".


CollectionLog-2017.05.02-15.44.zip

Изменено пользователем diman_cs
thyrex

thyrex

Опубликовано
Опубликовано

c:\adfs\syshostx.exe (файл скрытый) и все остальное из папки c:\adfs заархивируйте с паролем virus, выложите на www.dropmefiles.com и пришлите ссылку на скачивание мне в личные сообщения

  • Согласен 1
diman_cs

diman_cs

Опубликовано
  • Автор
Опубликовано

c:\adfs\syshostx.exe (файл скрытый) и все остальное из папки c:\adfs заархивируйте с паролем virus, выложите на www.dropmefiles.com и пришлите ссылку на скачивание мне в личные сообщения

Готово.

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\adfs\syshostx.exe');
 DeleteFile('c:\adfs\syshostx.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Syshostx');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Syshostx');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

thyrex

thyrex

Опубликовано
Опубликовано

Удалите в МВАМ только

Trojan.BitCoinMiner, C:\PROGRAMDATA\SERVICE\SVCHOSTOLD.EXE, No Action By User, [377], [369967],1.0.1866
diman_cs

diman_cs

Опубликовано
  • Автор
Опубликовано

 

Удалите в МВАМ только

Trojan.BitCoinMiner, C:\PROGRAMDATA\SERVICE\SVCHOSTOLD.EXE, No Action By User, [377], [369967],1.0.1866

Удалить. Перенести в карантин? С этими файлами я ничего не предпринимал покачто.

thyrex

thyrex

Опубликовано
Опубликовано

К сожалению, присланный файл ничем не поможет. Это не сам шифратор

thyrex

thyrex

Опубликовано
Опубликовано

Увы. Без тела шифратора - никак

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ser25
      Шифровальщик
      Автор Ser25
      Взломали пароль и зашифровали удаленный комп. Пока ничего не предпринимал
      20250507.7z
    • Пользователь 1551
      Шифровальщик
      Автор Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Thunderer
      Шифровальщик
      Автор Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Сергей_00
      шифровальщик
      Автор Сергей_00
      Добрый день!
      Сегодня шифровальщик зашифровал большую часть нужных файлов, благо выключили компьютер из розетки...
      В результате остались файлы в папке запуска подозрительного файла   svhostss.exe, а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe
      следующие файлы:
      Everything.db
      Everything32.dll
      Everything64.dll
      session.tmp
      svhostss.exe
       
      быть может есть возможность дешифровать данные? 
    • bygi13
      Шифровальщик
      Автор bygi13
      Вирус шифровальщик
×
×
  • Создать...