Перейти к содержанию

Шифровальшик email-hola@all-ransomware.info.ver.... .fname

rpnmo
 Share

Рекомендуемые сообщения

rpnmo Новичок

rpnmo

Опубликовано
Опубликовано (изменено)

Добрый день!

 

Компьютер был атакован вирусом шифровальщиком "email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-4167076059-07.02.2018 10@06@279858514.fname" файлы стали с расширением "fairytail"  . Существует ли способ расшифровки? Если нет, то примерно как скоро появляется способ расшифровки вирусов такого типа.

CollectionLog-2018.03.15-14.42.zip

Изменено пользователем rpnmo
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Один из файлов README.txt, а также пару зашифрованный и его не зашифрованный оригинал (ищите такой в резервных копиях, в почте, на других ПК и т.п.) упакуйте в архив и прикрепите к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FF SearchPlugin: C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-4167076059-07.02.2018 10@06@279858514.fname-mailru.xml.fairytail [2018-02-07]
FF SearchPlugin: C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-4167076059-07.02.2018 10@06@279858514.fname-README.txt.fairytail [2018-03-14]
FF SearchPlugin: C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-4167076059-07.02.2018 10@06@279858514.fname-yandex.ru-131039.xml.fairytail [2018-02-07]
FF SearchPlugin: C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\README.txt [2018-03-14]
2018-03-14 10:50 - 2018-03-14 10:50 - 000000380 _____ C:\README.txt
2018-03-14 10:47 - 2018-03-14 10:47 - 000000380 _____ C:\Program Files\README.txt
2018-03-14 10:43 - 2018-03-14 10:43 - 000000380 _____ C:\Program Files\Common Files\README.txt
2018-03-14 10:39 - 2018-03-14 11:39 - 000001620 _____ C:\Documents and Settings\Пользователь\Рабочий стол\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-4167076059-07.02.2018 10@06@279858514.fname-README.txt.fairytail
2018-03-14 10:39 - 2018-03-14 11:39 - 000000380 _____ C:\Documents and Settings\Пользователь\Рабочий стол\README.txt
2018-03-14 10:39 - 2018-03-14 10:39 - 000000380 _____ C:\Documents and Settings\Пользователь\Мои документы\README.txt
2018-03-14 10:39 - 2018-03-14 10:39 - 000000380 _____ C:\Documents and Settings\Пользователь\README.txt
2018-03-14 10:39 - 2018-03-14 10:39 - 000000380 _____ C:\Documents and Settings\README.txt
2018-03-14 10:38 - 2018-03-14 10:38 - 000000380 _____ C:\Documents and Settings\Пользователь\Главное меню\Программы\README.txt
2018-03-14 10:38 - 2018-03-14 10:38 - 000000380 _____ C:\Documents and Settings\Пользователь\Главное меню\README.txt
2018-03-14 10:37 - 2018-03-14 10:37 - 000000380 _____ C:\Documents and Settings\Пользователь\Local Settings\README.txt
2018-03-14 10:26 - 2018-03-14 10:26 - 000000380 _____ C:\Documents and Settings\Пользователь\Local Settings\Application Data\README.txt
2018-03-14 10:20 - 2018-03-14 10:20 - 000000380 _____ C:\Documents and Settings\Пользователь\Application Data\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Пользователь\AppData\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Пользователь\AppData\LocalLow\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\Рабочий стол\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\Главное меню\Программы\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\Главное меню\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\Local Settings\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\Local Settings\Application Data\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\Application Data\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\All Users\Рабочий стол\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\All Users\Главное меню\Программы\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\All Users\Главное меню\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\All Users\README.txt
AV: IObit Malware Fighter (Disabled - Out of date) {0ED16AC2-4656-4907-BD42-21EA693640D6}
ContextMenuHandlers1: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} =>  -> No File
ContextMenuHandlers6: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} =>  -> No File
Task: C:\WINDOWS\Tasks\ParetoLogic Registration3.job => rundll32.exe  C:\Program Files\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
Task: C:\WINDOWS\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\ParetoLogic Update Version3.job => C:\Program Files\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报
DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Синтезит
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От Синтезит
      Здравствуйте, помогите пожалуйста расшифровать.
      Ссылка на зашифрованные файлы от платформы 1с
      https://dropmefiles.com/8aGW7 пароль 0uJxTd
       
      Чистые файлы из архива Windows
      https://dropmefiles.com/PzSaC пароль ecUlCq
      Addition.txt FRST.txt
    • RusLine
      Помогите нарвался на шифровальшика.
      От RusLine
      Здравствуйте помогите чем сможете. Скачал с nnmclub total commander попользовался а утром зашифровало все фото файлы важные. Подскажите что делать ?
        



    • R3DSTALK3R
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От R3DSTALK3R
      Наш компьютер, где был установлен сервер 1C, заразился вирусом шифровальщиком-вымогателем. Первое что сделал вирус – сменил пароль для учётной записи администратора. Так же он зашифровал все файлы ключом ThnzSOMKAAKZ7v7OV4MX-cwAzeoX0aWrzJmrPnXwamk*datastore@cyberfear.com-ThnzSOMKAAKZ7v7OV4MX-cwAzeoX0aWrzJmrPnXwamk (как сказано в послании от вымогателя), которые больше 8,5 мб.
      Очень надеемся, что сможете помочь решить нашу проблему.
      https://dropmefiles.com/DUXr9 ссылка на шифрованные файлы
      Addition.txt Shortcut.txt FRST.txt README.txt
    • Timur Swimmer
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От Timur Swimmer
      Здравствуйте.
      Наш компьютер, где был установлен сервер 1C, заразился вирусом шифровальщиком-вымогателем. Первое что сделал вирус – сменил пароль для учётной записи администратора. Так же он зашифровал все файлы ключом RSA4096 (как сказано в послании от вымогателя), которые больше 8,5 мб. У всех файлов больше 8,5 мб изменили расширение на datastore@cyberfear.com-WuqqAQ9reBWcAtfXZgxTUsAfCnUmDrqmJgKmH-4JJ0g .
      По ссылке можно скачать несколько зашифрованных файлов для примера, в папке Original файлы, как они выглядели до шифрования и письмо от мошенников.
      ссылка на диск
      Очень надеемся, что сможете помочь решить нашу проблему.
    • Samoxval
      Поймали шифровальшика файлы с расширением .nigra
      От Samoxval
      Поймали шифровальщик. Расширение .nigra
      Скорее всего по рдп, сам вирус не нашли.
      Установили новый диск и на него накатили чистую виндовс, старые 2 диска осталис подключены как второстепенные, систему на них не трогали.
      Если есть возможность нам спасти файлы (несколько из них приложил) за месяц. Тоесть это файлы кассовой смены 1 файл= 1 кассовая смена. Более нам ничего не требуется с этих дисков. Либо база sql там эти все смены хранятся.
      Зашифрованые файлы.rar
      Первоначальное расширение файлов .udb
       
×
×
  • Создать...