Перейти к содержанию

Вирус postal.surgut@danwin1210.me

Ромик Комлев

Автор Ромик Комлев
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Ромик Комлев

Ромик Комлев

Опубликовано
Опубликовано

Добрый день.

Сегодня утром обнаружил, что на компьютере все файлы стали размером 0 кб.

В папке появились два текстовых файла

Содержимое:

 

ЕСЛИ ВАМ НУЖНЫ ФАЙЛЫ ПИШИТЕ__

 
 
postal.surgut@danwin1210.me

К сожалению программы по восстановлению не помогают.

Стоял антивирус Avast - ничего не обнаружил не в момент атаки, ни после.

Сейчас Касперский установил, также ничего не нашёл (касаемо данного вирус)

Подскажите есть ли шанс защититься от подобной проблемы в будущем. 

Потерял очень много важных файлов (документы, фотографии) - всё 0 кб.

Может быть кто то знает способ откатить версии файлов?

 

Сообщение от модератора kmscom
тема перемещена из раздела Компьютерная помощь
Ромик Комлев

Ромик Комлев

Опубликовано
  • Автор
Опубликовано

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

 

 

История переписки:

 

postal.surgut@danwin1210.me

Я - "Нужны файлы"

Ответ: - 25000 руб.

Я - "Для подтверждения, что файлы возможно восстановить. Восстановите один файл и пришлите"

Ответ: - "текущий ip компьютера напишите"

Я - "Как узнать?"

Ответ: - "сmотрите на сайте 2ip.ru"

Я: "100.90.80.70" - IP был выслан реальный.

Ответ: "4 файла с моего компьютера"

Я - "Один файл из конкретной папки можете восстановить. Интересуют *** файлы.?"

Ответ - "нет физически файлы у Вас, после оплаты Вы получаете программу которая все вернет на места, можем выгрузить список всех текущих файлов которые у вас с размерами"

Я - "Давай так"

Ответ: - "Файл - список" (директории - размер файла - Название

Я - "Куда оплачивать?"

Ответ: "оплата только через киви кошелек. 1 создаете кошелек на сайту qiwi.ru. 2 пополняете его. 3 после будете делать оплату со своего кошелька"

Я - "Не понял, что нужно сделать? Новый кошелёк создать?"

Ответ "создать новый кошелек. после пополнить его с карты или через терминал оплаты"

 

Думаю, что дело было так:

 

Запустив вирус, он сканирует файлы и папки. Всё это пишет в файлик. Отправляет злоумышленнику. Файл со списком, а также случайные файлы (понятное дело, что попросят продемонстрировать, а тут раз и как по волшебству восстановили несколько файлов. НЕТ!!! Они сначала были отправлены злоумышленнику, а потом стёрты с Вашего ПК).

После чего файл стираются безвозвратно до 0 кб (несмотря на фразочку "физически файлы у Вас" - проблема в том, что сложно скрыть 12 гб информации, если на диске занято 0,5 ГБ.

 

Ни в коем случае не ведитесь на аналогичные проблемы.

 

P.S. прикрепил анализ ПК.

Хотелось бы всё такие разобраться, остался ли доступ к ПК

CollectionLog-2017.11.21-12.14.zip

report1.log

report2.log

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Скрипт закроет уязвимости в IE.

 

Доступ в общую папку

D:\SHARE

под паролем?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • 3 недели спустя...
Ромик Комлев

Ромик Комлев

Опубликовано
  • Автор
Опубликовано

 

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Addition.txt

FRST.txt

Shortcut.txt

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
GroupPolicy: Restriction <==== ATTENTION
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Quester1337
      Подозрение на вирус(ратник или стиллер)
      Автор Quester1337
      После скачки файла из интернета с проверенного ресурса было много срабатываний антивируса, однако я разрешил софту работать, вроде бы ничего странного не случалось, теперь я его удалил и хотел бы удостовериться, что его не осталось, т.к. в дз видел процесс повершелл который грузит цп(17-30%). Логи прилагаю.
      CollectionLog-2026.01.16-15.50.zip
    • pro100danya
      Угроза DPC:PowerShell.AVKill.10
      Автор pro100danya
      перестал работать запрет ,скачал фикс с ютуба после перезапуска пк удалился хром,скачал dr web и
      постоянно поврежденны файлы hosts и Chromiumconfig и недавно 200+ раз др веб отклонил DPC:PowerShell.AVKill.10
      я решил закинуть в вирус тотал ехешник и там было куча вирусов.
      пожалуйста помогите мне удалить вирус я не понимаю как его удалить но dr web постоянно детектит все его действия но АВ мне надо выключить для установки различных программ но я боюсь за свой пк
      также не хочу просто чтоб у меня был вирус на пк
    • Romchik45
      вирус закрывает антивирус
      Автор Romchik45
      1. Удалил антивирус 360 security.
      2. Захожу в антивирус винды (чтобы восстановить нужный мне файл) -журнал защиты и хочу восстановить один файл, в итоге там появляется непонятный файл и антивирус сам закрывается.
      3. Провел полное сканирование с помощью dr web cureit и обнаружились угрозы, переместились в карантин.
      После этого всего всеравно антивирус закрывается как на видео.
      Прилагаю еще скриншот с двумя непонятными программами которые установлены на пк.
      у меня виндовс 10 на пк
      https://www.youtube.com/watch?v=j5aPu8TweZI

      CollectionLog-2026.01.14-20.08.zip Архив ZIP - WinRAR.zip
    • KolanK
      Вирус Robotdemo
      Автор KolanK
      На пк сидит майнер Robotdemo. Антивирусы его не находят, только через Advance system care получается его снести на некоторое время. Спустя несколько дней (бывает даже раньше) он появляется снова.  В папке ProgramData он тоже не отображается.


      CollectionLog-2026.01.13-19.23.zip
    • Beshan
      После kms auto появляется самовосстанавливающаяся папка с trojan (czyuzabpfprl и ztbhbqffszlu)
      Автор Beshan
      Добрый день, пытался активировать виндовс через kms auto, после чего начали появляться самовосстанавливающиеся папки с файлом внутри, которые антивирус бесконечно теперь удаляет. Прикрепляю логи с Farbar Recovery Scan Tool. Спасибо
      Addition.zip FRST.zip
×
×
  • Создать...