Перейти к содержанию
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

Вирус-шифровальшик !SATANA!

Роман Стельмах

Автор Роман Стельмах
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Роман Стельмах Новичок

Роман Стельмах

Опубликовано
Опубликовано

Доброго времени суток. На сервер залетел вирус !SATANA. Подскажите, файлы, которые он криптонул возможно декриптовать? Точек восстановления нет, сервер на работе, утром создам тему по этому поводу. Просто главный вопрос - получится ли без точек восстановления декриптовать эти файлы? В систему загрузиться могу, восстановил MBR, файлы вируса ВРОДЕ удалил, на рабочем столе вообще ничего не было кроме корзины(скрытые файлы я включал). В общем, подскажите, есть шанс восстановить всё без точек восстановления?

 

Вот текст из текстовика: 

Вам не повезло. Все ваши файлы зашифровал вирус <!SATANA!>

Для дешифровки отправьте на почту: satanacript@gmail.com ваш код: 14B4030A8A7F8B8D7B1101720567C27E
Дешифровка файлов возможна только на вашем ПК! Восстановление возможно в течение 7 дней, после чего программа - декриптор - не сможет получить с сервера подписанный сертификат.

Свяжитесь с нами по email satanacript@gmail.com
Если вы не цените свои файлы, мы рекомендуем отформатировать все диски и переустановить систему.
Внимательно прочтите это предупреждение, т.к. его не будет при следующем запуске ПК. Напоминаем - это все серьезно! Не меняйте конфигурацию вашего ПК!

E-mail: satanacript@gmail.com - это наша почта
КОД: 14B4030A8A7F8B8D7B1101720567C27E этот код вы должны прислать.
Удачи! Да поможет вам Бог!

 

​Пока просто подскажите, это дешифруется без точек восстановления?

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('ljtfgdss');
 DeleteService('ljtfgdss');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 


 

 


Пара зараженный-незараженнй.zip
другой пары файлов нет?

 

 


другой пары файлов нет?
предпочтительно, если будет вордовский документ.
Ссылка на комментарий
Поделиться на другие сайты
Роман Стельмах Новичок

Роман Стельмах

Опубликовано
  • Автор
Опубликовано

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('ljtfgdss');
 DeleteService('ljtfgdss');
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

 

Пара зараженный-незараженнй.zip

другой пары файлов нет?

 

 

другой пары файлов нет?

предпочтительно, если будет вордовский документ.

 

Попробую поискать другую пару. Скрипты выполнил, сейчас приступлю к дальнейшим указаниям.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('ljtfgdss');
 DeleteService('ljtfgdss');
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

 

Пара зараженный-незараженнй.zip

другой пары файлов нет?

 

 

другой пары файлов нет?

предпочтительно, если будет вордовский документ.

 

Нашел другую пару. Также отправляю те 3 файла из отчета программы. Жду дальнейших указаний. Спасибо!

Пара зашифрованный-незашифрованный.zip

FRST.txt

Shortcut.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:
MSCONFIG\startupreg: Alcmeter => C:\Users\Boss\AppData\Local\Temp\v1J2G5jDr9k7XoV.exe
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2016-08-29] ()
Startup: C:\Users\Юля\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2016-08-29] ()
2016-10-12 10:11 - 2016-08-29 18:04 - 000000789 _____ () C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sergei5
      шифровальшик зашировал все данные
      Автор sergei5
      Добрый день Вирус зашифровал все данные файл с расширением  62IKGXJL  помогите восстановить. Буду вам признателен.
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Nickopol
      Удалить вирус
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
    • nooky910
      [РЕШЕНО] Бесконечный вирус
      Автор nooky910
      Добрый день. Заметил, что при играх резкая просадка фпс началась. Лечил 2 таблетками, но безуспешно. Бесконечно создается сам. Так же был замечен xmring miner, но таблетка его вроде пыталась удалить. 


       
      CollectionLog-2025.05.24-17.36.zip
    • SonG
      Вирус переименовывает службы
      Автор SonG
      Добрый день!  На Server 2022 (Standart) появились вирусы.
      1. Сначала был Trojan.Win32.SEPEH, но после 3-4 проверок Kaspersky Endpoint Security, пропал. В это время уже центр обновлений не работал
      2. Дальше полез в реестр и слкжбы службы. На службах wuauserv, usosvc, BITS, WaaSMedicSvc, DoSvc, wuaserv, был постфикс "_bak" (оригиналы при этом были). Удалил из под безопасного режима, прогнал антивирусом и перезапустился. Вроде больше не появлялись.
       
      Теперь центр обновлений так и не работает, но на глаз попались другие службы, где уже другие названия:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CaptureService_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cbdhsvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDPUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ConsentUxUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CredentialEnrollmentManagerUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeviceAssociationBrokerSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DevicePickerUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DevicesFlowUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PrintWorkflowUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UdkUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UnistoreSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UserDataSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WpnUserService_b1e5e  
      Что делать, куда "копать" ?) 
      Физический доступ к серверу бывает раз в день (99% операций провожу под RDP)
      CollectionLog-2025.06.01-16.59.zip FRST.txt Addition.txt
×
×
  • Создать...