Перейти к содержанию

Шифровальщик оставляющий после себя файлы с расширением [aversia@tuta.io]-id-0.payday

PeterF
 Share

Рекомендуемые сообщения

PeterF Новичок

PeterF

Опубликовано
Опубликовано

Запустился вирус ночью и зашифровал файлы не только на локальном компе но и расшареные папки на серверах. Оставив после себя файлы с расширением [aversia@tuta.io]-id-0.payday

CollectionLog-2017.10.05-17.27.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

 

Если есть текстовый файл с требованием выкупа - его вместе с парой зашифрованных офисных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Это BTCWare, расшифровки нет.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
CloseProcesses:
2017-10-04 00:45 - 2017-10-04 17:37 - 000013672 _____ C:\Users\infekt1\AppData\Roaming\payday.hta
2017-10-04 00:45 - 2017-10-04 00:45 - 000000088 _____ C:\!! RETURN FILES !!.txt
2017-10-04 00:45 - 2017-10-03 00:01 - 000120832 _____ C:\Users\infekt1\Documents\svhost.exe
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Повторите еще раз логи FRST.

Ссылка на комментарий
Поделиться на другие сайты
PeterF Новичок

PeterF

Опубликовано
  • Автор
Опубликовано (изменено)

Это виртуальная машинка уже нам не нужна :) Ее поднимали что бы понять возможно расшифровать файлы которые вирус зашифровал на сервере. Все эту виртуалку можно  удалять.

 

Так и доложу начальнику что файлы расшифровать не возможно.

 

Спасибо!

Изменено пользователем PeterF
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

@Рома Гизенко, здравствуйте!

 

1. Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

2. Скрипты пишутся индивидуально. Выполнение чужих инструкций может Вам же навредить.

Ссылка на комментарий
Поделиться на другие сайты
scryde Новичок

scryde

Опубликовано
Опубликовано

Ехх админ вы так мне не дали ответ на вопрос,все таки я рискнул и заплатил,они прислали мне декрипт(файлы я успешно дешефровал,если хотите у меня остался файл декрипта,могу вам выслать возможно это поможет?

Ссылка на комментарий
Поделиться на другие сайты
scryde Новичок

scryde

Опубликовано
Опубликовано

 

возможно это поможет?

Не поможет. Ключи индивидуальны.

 

Жаль,просто мне файлы расшифровало,думал вам дать возможно помогло бы,очень жаль(

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • hafer
      Поймали шифровальщик. Расширение файлов _[ID-KTRKI_Mail-Vertalic@Tuta.io].LKH
      От hafer
      Windows Server 2012 Standart
      Зашифрованы документы, базы 1с на диске С и D
      FRST.zip
    • ovfilinov
      поймали шифровальщика - дописывает после расширения файла 6a19a55854eee3
      От ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
    • tom1
      Шифровальщик с расширением .wtch
      От tom1
      Здравствуйте.
      Поймали шифровальщик, зашифровал файлы с расширением .wtch. После чего произошло, сказать затрудняюсь (возможно, был получен удаленный доступ к компьютеру, был найден на компьютере advanced port scanner). Помогите, пожалуйста, если есть возможность. Отчеты Farbar и зашифрованные файлы прикладываю. Злоумышленники требуют писать им на почту DecryptData@skiff.com.
      Файл самого шифровальщика обнаружен, готов предоставить.
      Addition.txt FRST.txt файлы.zip
    • Дмитрий Борисович
      Шифровальщик с расширением LOQ
      От Дмитрий Борисович
      Приветствую!
      8 декабря, примерно в 20 часов была замечена активность шифровальщика.
      Выявлено шифрование файлов на всех активных компьютерах сети.
      Зашифрованные файлы с расширением - .loq
      В корне диска C:\ найден файл с раширением .txt следующего содержания:
       
      All Your Files Are Locked And Important Data Downloaded !

      Your Files Are No Longer Accessible Don't Waste Your Time, Without Our Decryption Program Nobody Can't Help You .
      If Payment Isn't Made After A While We Will Sell OR Publish Some Of Your Data . You Don't Have Much Time!

      Your ID : HFXGT
      If You Want To Restore Them Email Us : Evo.team1992@gmail.com
      If You Do Not Receive A Response Within 24 Hours, Send A Message To Our Second Email : Qqq113168@gmail.com
      To Decrypt Your Files You Need Buy Our Special Decrypter In Bitcoin .
      Every Day The Delay Increases The Price !! The Decryption Price Depends On How Fast You Write To Us Email.
      We Deliver The Decryptor Immediately After Payment , Please Write Your System ID In The Subject Of Your E-mail.
      What is the guarantee !
      Before Payment You Can Send Some Files For Decryption Test.
      If We Do Not Fulfill Our Obligations, No One Does Business With Us , Our Reputation Is Important To Us 
      It's Just Business To Get Benefits.
      ===============================================================================
      Attention !
      Do Not Rename,Modify Encrypted Files .
      Do Not Try To Recover Files With Free Decryptors Or Third-Party Programs And Antivirus Solutions Because 
      It May Make Decryption Harder Or Destroy Your Files Forever !
      ===============================================================================
      Buy Bitcoin !
      https://www.kraken.com/learn/buy-bitcoin-btc
      https://www.coinbase.com/how-to-buy/bitcoin
       
       
      Архив.zip
    • Andrei Butyrchyk
      Зашифрованы файлы с расширением .mammn
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
×
×
  • Создать...