Перейти к содержанию

Шифровальщик


Рекомендуемые сообщения

Здравствуйте, сегодня утром шифровальщик изменил расширения на UIWIX и с моим личным id для вымогателя. Пример прикрепил, лог тоже и требования хакеров. Вообще не пойму каким образом они это сделали ?
Надеюсь на помощь, в гугле сегодня только пару таких же ситуаций нашел, походу какая то новая зараза.

CollectionLog-2017.05.10-10.59.zip

_DECODE_FILES.txt

post-45235-0-50127300-1494403655_thumb.jpg

Изменено пользователем lesnoychelovek
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

+

Упакуйте и прикрепите пару небольших поврежденных офисных документов.

Ссылка на комментарий
Поделиться на другие сайты

Спасибо за быстрый ответ ! 
из офисных всё что было прислал там правда еще пароли мои в txt но не знаю присылать или нет ?
Все пусковые изменились в такое название пример Google Chrome.lnk._3011706496.UIWIX, O&O Defrag.lnk._3011706496.UIWIX ну и т.д. Есть еще pdf один но он не грузится там 11 Мб
 

chia-01.7z

chia-02.7z

Addition.txt

FRST.txt

Shortcut.txt

форматирования текста.txt._3011706496.UIWIX.7z

Изменено пользователем lesnoychelovek
Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Windows\system32\_DECODE_FILES.txt
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\Public\Desktop\_DECODE_FILES.txt
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\Default\AppData\Local\_DECODE_FILES.txt
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\Default\AppData\_DECODE_FILES.txt
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\Default User\AppData\Local\_DECODE_FILES.txt
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\Default User\AppData\_DECODE_FILES.txt
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\7\AppData\Local\Apps\_DECODE_FILES.txt
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\7\AppData\Local\_DECODE_FILES.txt
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\7\AppData\_DECODE_FILES.txt
2017-05-10 08:20 - 2017-05-10 08:20 - 00000559 _____ C:\Users\7\_DECODE_FILES.txt
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

каким образом они это сделали ?

Уточните не открывалось ли вложение из подозрительного письма? Сохранилось ли письмо? Был ли доступ через RDP? Если да, смените пароль.
Ссылка на комментарий
Поделиться на другие сайты

Честно говоря первые 2 вопроса не понял, если открывал ли я это письмо (txt) с требованиями от хакеров, то да и заходил даже на адреса, те что там указаны были. Насчет удаленного доступа не знаю. Может это у провайдера нужно уточнить ? Единственное, что знаю смотрел я ютюб и тут началось, кулер на процессоре начал шуметь, я еще так пару минут подождал, потом решил проверить и обнаружил, что почти все файлы изменены. Но там у меня игры в основном, то не жалко, мне бы пароли восстановить это главное.
А да и были у меня подозрения, что по локальной сети от провайдера есть ресурс, там ТВ, видео, музыка и прочее, так вот там нужно было в хроме переключить значение, что бы html не был главным, потому что у них там всё на flash работает. Не знаю может от этого пошла эта беда.
KIS 2016 и Malwarebytes ничего не нашли, др вэб аналогично.

Изменено пользователем lesnoychelovek
Ссылка на комментарий
Поделиться на другие сайты

Часто подобная ситуация возникает когда пользователь открывает вложение из письма от незнакомого адресата (в почте).

мне бы пароли восстановить это главное.

О каких паролях идет речь?
Ссылка на комментарий
Поделиться на другие сайты

в txt записаны пароли от аккаунтов на сайтах, стим, уплей. 


Так что мне пароли менять для доступа в инет или искать вирус ? А расшифровать чем данные, возможно такое ?

Изменено пользователем lesnoychelovek
Ссылка на комментарий
Поделиться на другие сайты

мне пароли менять для доступа в инет

Меняйте, не помешает.

А расшифровать чем данные, возможно такое ?

Пока определенно ответить не можем, мало данных.
Ссылка на комментарий
Поделиться на другие сайты

пользователь открывает вложение из письма от незнакомого адресата (в почте).

Если сохранилось письмо и вложение, которое предположительно было запущено.
Ссылка на комментарий
Поделиться на другие сайты

Не почтой не пользовался. Ничего не открывал. Вчера свежую ОС установил до того была зараженная трояны и еще какие то генерик, антивирусами не пользовался, уже пототм когда снова кулер зашумел я обнаружил в диспетчере разные непонятные процессы, скачал Касперского, тот нашел вируса, удалил, вроде все было норм, и вот думаю для пущей чистоты переставлю ОСь и антивирус не ставил, и вот такая фигня случилась, но как показывают утилиты, что заразы нет, значит может быть что трояны украли мои пароли на подключение, так что ли ? За вчерашний день только на ютюбе был и на локальных(от провайдера) ресурах.


ОС менять стоит или нет после смены пароля ? Сейчас поеду к провайдеру.

Ссылка на комментарий
Поделиться на другие сайты

Вчера свежую ОС установил до того была зараженная

Делали полное форматирование?

 

ОС менять стоит или нет после смены пароля ?

Нет.
Ссылка на комментарий
Поделиться на другие сайты

Провайдер говорит, что зная пароль на подключение, подключится невозможно к компу ? Я так вообще далекий. Но все равно пароль сменю. С расшифровкой они тоже помочь ничем не могут. Да и вообще не особо компетентной показался мне этот сотрудник.


Удалял раздел С и скрытый, я обычно так делаю и потом заново создавал, я даже не знаю полное это или нет ? А сейчас наверно придется все винты почистить ?


Да перед переустановкой из карантина касперкского удалил все эти вируса.

Изменено пользователем lesnoychelovek
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...