Перейти к содержанию
Викторина ко дню рождения Евгения Валентиновича Касперского
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Шифровальщик оставляющий после себя файлы с расширением [aversia@tuta.io]-id-0.payday

PeterF
 Share Подписчики 1

Рекомендуемые сообщения

PeterF

PeterF 0

Опубликовано
Опубликовано

Запустился вирус ночью и зашифровал файлы не только на локальном компе но и расшареные папки на серверах. Оставив после себя файлы с расширением [aversia@tuta.io]-id-0.payday

CollectionLog-2017.10.05-17.27.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

 

Если есть текстовый файл с требованием выкупа - его вместе с парой зашифрованных офисных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

Это BTCWare, расшифровки нет.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
CloseProcesses:
2017-10-04 00:45 - 2017-10-04 17:37 - 000013672 _____ C:\Users\infekt1\AppData\Roaming\payday.hta
2017-10-04 00:45 - 2017-10-04 00:45 - 000000088 _____ C:\!! RETURN FILES !!.txt
2017-10-04 00:45 - 2017-10-03 00:01 - 000120832 _____ C:\Users\infekt1\Documents\svhost.exe
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Повторите еще раз логи FRST.

Ссылка на сообщение
Поделиться на другие сайты
PeterF

PeterF 0

Опубликовано
  • Автор
Опубликовано (изменено)

Это виртуальная машинка уже нам не нужна :) Ее поднимали что бы понять возможно расшифровать файлы которые вирус зашифровал на сервере. Все эту виртуалку можно  удалять.

 

Так и доложу начальнику что файлы расшифровать не возможно.

 

Спасибо!

Изменено пользователем PeterF
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

@Рома Гизенко, здравствуйте!

 

1. Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

2. Скрипты пишутся индивидуально. Выполнение чужих инструкций может Вам же навредить.

Ссылка на сообщение
Поделиться на другие сайты
scryde

scryde 0

Опубликовано
Опубликовано

Ехх админ вы так мне не дали ответ на вопрос,все таки я рискнул и заплатил,они прислали мне декрипт(файлы я успешно дешефровал,если хотите у меня остался файл декрипта,могу вам выслать возможно это поможет?

Ссылка на сообщение
Поделиться на другие сайты
scryde

scryde 0

Опубликовано
Опубликовано

 

возможно это поможет?

Не поможет. Ключи индивидуальны.

 

Жаль,просто мне файлы расшифровало,думал вам дать возможно помогло бы,очень жаль(

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем
×
×
  • Создать...