Перейти к содержанию

шифровальщик Filecoder.Q

sergio7
 Поделиться

Рекомендуемые сообщения

sergio7

sergio7

Опубликовано
Опубликовано

Помогите решить проблему с шифровальщиком! Не совсем понятно как он проник, но 2 компа заражены, а это док файлы, ехешники, базы данных....

Может кто то уже сталкивался с таким шифровщиком и у кого нить есть ключик?

Комп загружается под временной учеткой, лицензия слетела запускается ехе-файл в виде сообщения типа: у вас все зашифровано, пришлите сообщение на decrythelp@qq.com

Eset определил угрозу как Win32/Filecoder.Q от приложения 1taskhoste.exe


Прикрепляю архив логов, как по инструкции

CollectionLog-2018.02.06-02.03.zip

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,


- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

SQ

SQ

Опубликовано
Опубликовано

Уточните пожалуйста, это компьютер находится в локальной сети. Присутствуют ли другие компьютере в сети?

P.S. Спрашиваю из-за того не вижу в логах файлов с требованиями злоумышлинников, есть вероятность что изначально был заражен другой компьютер.

sergio7

sergio7

Опубликовано
  • Автор
Опубликовано

Да, данный комп сам в локалке (зашифрованы только некоторые файлы, относящиеся к программе имеющей базы данных, документы и остальное не шифрованы) и к нему подцепил винт с сервака где все, даже виндовые файлы зашифрованы. В сети еще 5 компов, на них тоже есть зашифрованные базы.

SQ

SQ

Опубликовано
Опубликовано

Ищите компьютер на котором присутствуют файлы вымогателей, он должен быть источником заражения. Нужны логи с него.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 19boom
      вирус-шифровальщик Ransom: Win32/Sorikrypt.A
      Автор 19boom
      Зашифровал базу 1с на сервере.
      Вирус я нашел с помощью KVRT и удалил (спасибо форуму)
      как восстановить 1с?
       
      запустить сборщик логов не получается (ошибка в прикрепленном фото)
       
      Need help please(
       
       



    • compatible
      Шифровальщик .id09042
      Автор compatible
      Добрый день,
      Пока компьютер находился в автономном плаванье вирус зашифровал все файлы с расширением *.id09042. В каждой папке присутствует txt-файл с содержимым: "Внимание! Все Ваши файлы зашифрованы! Для расшифровки файлов, Вам необходимо написать на email: yesdec@ya.ru В письме необходимо указать ваш id (id09042) Стоимость расшифровки 14500 руб., данная цена актуальна в течении 24ч. Далее будет больше!"   В панике попытался откатиться на предыдущие дни - не помогло Windows xp x86 sp3   Лечил программой Kaspersky Virus Removal Tool   Среди вирусов нашел троянскую программу Trojan-Ransom.Win32.Xorist.In     Заранее спасибо  
      CollectionLog-2017.03.16-10.45.zip
    • Muun
      шифровальщик Ransom: Win32/Sorikrypt.A
      Автор Muun
      Вечер добрый. Пока компьютер находился в автономном плаванье, вирус (Ransom: Win32/Sorikrypt.A) зашифровал все файлы с расширением *.id09042. В каждой папке присутствует txt-файл с содержимым: "Внимание! Все Ваши файлы зашифрованы! Для расшифровки файлов, Вам необходимо написать на email: yesdec@ya.ru В письме необходимо указать ваш id (id09042) Стоимость расшифровки 14500 руб., данная цена актуальна в течении 24ч. Далее будет больше!"   С вирусом я разобрался. а вот с зашифрованными файлами нет   В прикреплённом архиве исходные и зашифрованные файлы   Заранее спасибо  
      archiv.rar
    • sc-expert
      зашифровались данные
      Автор sc-expert
      Добрый день, на почту  пришло сообщение, и кто-то из пользователей решил поделится вложением со всеми через расшаренную папку на сервере, как итог все файлы зашифрованы. Есть текстовый документ следующего содержания
      "Внимание! Все Ваши файлы зашифрованы! Для расшифровки файлов, Вам необходимо написать на email: yesdec@ya.ru В письме необходимо указать ваш id (id09042) Стоимость расшифровки 14500 руб., данная цена актуальна в течении 24ч. Далее будет больше!     Заранее спасибо! CollectionLog-2017.03.09-09.53.zip
    • Darvel
      Зашифровались файлы.
      Автор Darvel
      Здравствуйте. Почитал темы, у кого-то есть декриптор.. Сегодня зашифровалась виртуалка, что не очень страшно, но еще цепанулась вся расшаренная папка на нее, а в ней куча всего нужного лежит, помогите расшифровать.. Вот оригинал программы, в которой криптор. [удалено]Это ссылка автора(гори он в аду).. 
      Прикрепляю несколько файлов зашифрованных. Пробовал расшифровать decrypt_Xorist, но не вышло..
      Саму виртуалку проверил, как и комп, все чисто.
      zashifrovannie.rar
×
×
  • Создать...