Перейти к содержанию

Вирус postal.surgut@danwin1210.me

Ромик Комлев

Автор Ромик Комлев
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Ромик Комлев

Ромик Комлев

Опубликовано
Опубликовано

Добрый день.

Сегодня утром обнаружил, что на компьютере все файлы стали размером 0 кб.

В папке появились два текстовых файла

Содержимое:

 

ЕСЛИ ВАМ НУЖНЫ ФАЙЛЫ ПИШИТЕ__

 
 
postal.surgut@danwin1210.me

К сожалению программы по восстановлению не помогают.

Стоял антивирус Avast - ничего не обнаружил не в момент атаки, ни после.

Сейчас Касперский установил, также ничего не нашёл (касаемо данного вирус)

Подскажите есть ли шанс защититься от подобной проблемы в будущем. 

Потерял очень много важных файлов (документы, фотографии) - всё 0 кб.

Может быть кто то знает способ откатить версии файлов?

 

Сообщение от модератора kmscom
тема перемещена из раздела Компьютерная помощь
Ромик Комлев

Ромик Комлев

Опубликовано
  • Автор
Опубликовано

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

 

 

История переписки:

 

postal.surgut@danwin1210.me

Я - "Нужны файлы"

Ответ: - 25000 руб.

Я - "Для подтверждения, что файлы возможно восстановить. Восстановите один файл и пришлите"

Ответ: - "текущий ip компьютера напишите"

Я - "Как узнать?"

Ответ: - "сmотрите на сайте 2ip.ru"

Я: "100.90.80.70" - IP был выслан реальный.

Ответ: "4 файла с моего компьютера"

Я - "Один файл из конкретной папки можете восстановить. Интересуют *** файлы.?"

Ответ - "нет физически файлы у Вас, после оплаты Вы получаете программу которая все вернет на места, можем выгрузить список всех текущих файлов которые у вас с размерами"

Я - "Давай так"

Ответ: - "Файл - список" (директории - размер файла - Название

Я - "Куда оплачивать?"

Ответ: "оплата только через киви кошелек. 1 создаете кошелек на сайту qiwi.ru. 2 пополняете его. 3 после будете делать оплату со своего кошелька"

Я - "Не понял, что нужно сделать? Новый кошелёк создать?"

Ответ "создать новый кошелек. после пополнить его с карты или через терминал оплаты"

 

Думаю, что дело было так:

 

Запустив вирус, он сканирует файлы и папки. Всё это пишет в файлик. Отправляет злоумышленнику. Файл со списком, а также случайные файлы (понятное дело, что попросят продемонстрировать, а тут раз и как по волшебству восстановили несколько файлов. НЕТ!!! Они сначала были отправлены злоумышленнику, а потом стёрты с Вашего ПК).

После чего файл стираются безвозвратно до 0 кб (несмотря на фразочку "физически файлы у Вас" - проблема в том, что сложно скрыть 12 гб информации, если на диске занято 0,5 ГБ.

 

Ни в коем случае не ведитесь на аналогичные проблемы.

 

P.S. прикрепил анализ ПК.

Хотелось бы всё такие разобраться, остался ли доступ к ПК

CollectionLog-2017.11.21-12.14.zip

report1.log

report2.log

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Скрипт закроет уязвимости в IE.

 

Доступ в общую папку

D:\SHARE

под паролем?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • 3 недели спустя...
Ромик Комлев

Ромик Комлев

Опубликовано
  • Автор
Опубликовано

 

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Addition.txt

FRST.txt

Shortcut.txt

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
GroupPolicy: Restriction <==== ATTENTION
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Fasolka
      Не получается удалить Trojan.Siggen31.49942
      Автор Fasolka
      Обьект: app.dll             Путь: C:\Users\lucif\AppData\Local\Temp\310HkrIkW1H0uUQZkVZi2Qlb5qF\resources\app.asar.unpacked\dist\electron\assets\app.dll
    • Владхелп
      Подозрение на вирус, подвисания
      Автор Владхелп
      Здравствуйте,
      Недавно переносил файлы с флешки друга, после этого начал подвисать и греться ноутбук, защитник ничего не видит
      CollectionLog-2025.12.22-22.00.zip
    • shougo04
      [РЕШЕНО] Client Helper вирус, помогите
      Автор shougo04
      Всем привет. Первый раз пишу сюда, отчаялся сильно. Уже качал Malwarebytes который на компе выявил 1 троян, несколько значений реестра от программы DriverIdentifier и что-то ещё, что я забыл. После того как я всё это удалил, вручную почистил реестр от подозрительных, старых, лишних значений, всё равно тыкаю Диспетчер задач - нагрузка ЦП (не видюхи) 40%+ и при открытии диспетчера падает соответственно до 1-3%. Так же использовал программу M1nerSearch, которая так же удалила 4 файла и 1 значение реестра по-моему, лог сохранился, если что прикреплю. 
       
      Я зашёл в Speccy и там обнаружил вкладку "планировщик задач" где увидел очень подозрительные процессы.  В планировщике задач обнаружил Client Helper(который MinerSearch как вирус определял), и Edgeupdate которые как я выяснил могут являться знаками наличия вируса. Вирусы получал крайне редко, и то очень давно, поэтому несильно шарю в них, извините.
      Я сейчас скачаю программу Revo uninstaller и попробую с помощью неё ещё что-нибудь сделать. Так же отмечу что вытаскивал кабель инета, устанавливал CCleaner, чистил комп, чистил реестр с помощью неё, потом обратно инет подключал. Так же исправлял ошибки реестра программой Wise Registry Cleaner.
       
      На всякий случай прикрепил 2 лога от MinerSearch, 1-й в котором указаны кол-во запусков 1 это тот лог, который при первом запуске мне и показал 5 проблем. 
      2 лог это лог уже второй проверки после всех вышеописанных манипуляций с ПК, он не обнаружил проблем, но как видите они остались, так что хз.
       
       
      Скрин подозрительной активности в Планировщике.
       
       
      MinerSearch_12_17_2025_7-15-07_PM.log MinerSearch_12_17_2025_8-23-48_PM.log
    • Кустас
      Подозрение на вирус
      Автор Кустас
      Компьютер начал ОЧЕНЬ сильно тупить, даже проводник пр и входе в папку открывает её секунд 10.
      CollectionLog-2025.12.13-21.05.zip
    • 420427
      [РЕШЕНО] какой-то вирус залез Trojan.Win32.Agentb.adkr
      Автор 420427
      Здравствуйте, какой-то вирус залез в комп, помогите, пожалуйста, избавиться.
      CollectionLog-2025.12.12-15.19.zip
×
×
  • Создать...