Перейти к содержанию

Шифровальщик оставляющий после себя файлы с расширением [aversia@tuta.io]-id-0.payday


Рекомендуемые сообщения

Опубликовано

Запустился вирус ночью и зашифровал файлы не только на локальном компе но и расшареные папки на серверах. Оставив после себя файлы с расширением [aversia@tuta.io]-id-0.payday

CollectionLog-2017.10.05-17.27.zip

Опубликовано (изменено)

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

 

Если есть текстовый файл с требованием выкупа - его вместе с парой зашифрованных офисных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

Изменено пользователем Sandor
Опубликовано

Это BTCWare, расшифровки нет.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    CloseProcesses:
    2017-10-04 00:45 - 2017-10-04 17:37 - 000013672 _____ C:\Users\infekt1\AppData\Roaming\payday.hta
    2017-10-04 00:45 - 2017-10-04 00:45 - 000000088 _____ C:\!! RETURN FILES !!.txt
    2017-10-04 00:45 - 2017-10-03 00:01 - 000120832 _____ C:\Users\infekt1\Documents\svhost.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Повторите еще раз логи FRST.

Опубликовано (изменено)

Это виртуальная машинка уже нам не нужна :) Ее поднимали что бы понять возможно расшифровать файлы которые вирус зашифровал на сервере. Все эту виртуалку можно  удалять.

 

Так и доложу начальнику что файлы расшифровать не возможно.

 

Спасибо!

Изменено пользователем PeterF
Опубликовано

@Рома Гизенко, здравствуйте!

 

1. Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

2. Скрипты пишутся индивидуально. Выполнение чужих инструкций может Вам же навредить.

Опубликовано

Ехх админ вы так мне не дали ответ на вопрос,все таки я рискнул и заплатил,они прислали мне декрипт(файлы я успешно дешефровал,если хотите у меня остался файл декрипта,могу вам выслать возможно это поможет?

Опубликовано

возможно это поможет?

Не поможет. Ключи индивидуальны.
Опубликовано

 

возможно это поможет?

Не поможет. Ключи индивидуальны.

 

Жаль,просто мне файлы расшифровало,думал вам дать возможно помогло бы,очень жаль(

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Alsus
      Автор Alsus
      При включении сервера зашифровались все файлы ( несистемные) .  Комп не перезагружали, сохранился скрипт, и программа шифровальщик. Высылаю логи, программу и скрипт, и зашифрованый файл
      CollectionLog-2017.11.16-12.57.zip
      Договор водоснаб населения.doc.helper05@cock.li-id-1080.rar
    • Diocese
      Автор Diocese
      Как лечить?
      CollectionLog-2017.10.16-10.53.zip
    • дирижабль
      Автор дирижабль
      Доброго времени суток! Прошу о помощи,
       
      вирус-шифровальщик, файлы по регламенту в приложении. Скажите, пожалуйста, можно ли восстановить файлы, есть ли дешифратор?
      В приложении файл с требованием, пара зашифрованных файлов в архиве 1
       
      Спасибо!
      CollectionLog-2017.10.18-14.38.zip
      !! RETURN FILES !!.txt
      1.zip
    • tumb
      Автор tumb
      Сегодня 18.10.2017 в 11:50 была произведена шифровка всех данных на сервере. Причем за ним никто не работает, он тихонько стоит себе в углу, но при этом подключен к интернету. Я уж не знаю каким образом могла произойти шифровка, на нем ничего не скачивалось и не открывалось. Помогите если возможно в дешифровке. Какую информацию предоставить для анализа?
    • percolant
      Автор percolant
      Здравствуйте,
      Есть ли возможность расшифровать сабж? В аттаче архив с четырьмя файлами: два зашифрованные + два чистые оригиналы. Большое спасибо.
×
×
  • Создать...