Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальшик email-hola@all-ransomware.info.ver.... .fname

rpnmo
 Поделиться

Рекомендуемые сообщения

rpnmo

rpnmo

Опубликовано
Опубликовано (изменено)

Добрый день!

 

Компьютер был атакован вирусом шифровальщиком "email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-4167076059-07.02.2018 10@06@279858514.fname" файлы стали с расширением "fairytail"  . Существует ли способ расшифровки? Если нет, то примерно как скоро появляется способ расшифровки вирусов такого типа.

CollectionLog-2018.03.15-14.42.zip

Изменено пользователем rpnmo
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Один из файлов README.txt, а также пару зашифрованный и его не зашифрованный оригинал (ищите такой в резервных копиях, в почте, на других ПК и т.п.) упакуйте в архив и прикрепите к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FF SearchPlugin: C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-4167076059-07.02.2018 10@06@279858514.fname-mailru.xml.fairytail [2018-02-07]
FF SearchPlugin: C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-4167076059-07.02.2018 10@06@279858514.fname-README.txt.fairytail [2018-03-14]
FF SearchPlugin: C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-4167076059-07.02.2018 10@06@279858514.fname-yandex.ru-131039.xml.fairytail [2018-02-07]
FF SearchPlugin: C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\README.txt [2018-03-14]
2018-03-14 10:50 - 2018-03-14 10:50 - 000000380 _____ C:\README.txt
2018-03-14 10:47 - 2018-03-14 10:47 - 000000380 _____ C:\Program Files\README.txt
2018-03-14 10:43 - 2018-03-14 10:43 - 000000380 _____ C:\Program Files\Common Files\README.txt
2018-03-14 10:39 - 2018-03-14 11:39 - 000001620 _____ C:\Documents and Settings\Пользователь\Рабочий стол\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-4167076059-07.02.2018 10@06@279858514.fname-README.txt.fairytail
2018-03-14 10:39 - 2018-03-14 11:39 - 000000380 _____ C:\Documents and Settings\Пользователь\Рабочий стол\README.txt
2018-03-14 10:39 - 2018-03-14 10:39 - 000000380 _____ C:\Documents and Settings\Пользователь\Мои документы\README.txt
2018-03-14 10:39 - 2018-03-14 10:39 - 000000380 _____ C:\Documents and Settings\Пользователь\README.txt
2018-03-14 10:39 - 2018-03-14 10:39 - 000000380 _____ C:\Documents and Settings\README.txt
2018-03-14 10:38 - 2018-03-14 10:38 - 000000380 _____ C:\Documents and Settings\Пользователь\Главное меню\Программы\README.txt
2018-03-14 10:38 - 2018-03-14 10:38 - 000000380 _____ C:\Documents and Settings\Пользователь\Главное меню\README.txt
2018-03-14 10:37 - 2018-03-14 10:37 - 000000380 _____ C:\Documents and Settings\Пользователь\Local Settings\README.txt
2018-03-14 10:26 - 2018-03-14 10:26 - 000000380 _____ C:\Documents and Settings\Пользователь\Local Settings\Application Data\README.txt
2018-03-14 10:20 - 2018-03-14 10:20 - 000000380 _____ C:\Documents and Settings\Пользователь\Application Data\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Пользователь\AppData\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Пользователь\AppData\LocalLow\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\Рабочий стол\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\Главное меню\Программы\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\Главное меню\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\Local Settings\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\Local Settings\Application Data\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\Application Data\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\All Users\Рабочий стол\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\All Users\Главное меню\Программы\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\All Users\Главное меню\README.txt
2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\All Users\README.txt
AV: IObit Malware Fighter (Disabled - Out of date) {0ED16AC2-4656-4907-BD42-21EA693640D6}
ContextMenuHandlers1: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} =>  -> No File
ContextMenuHandlers6: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} =>  -> No File
Task: C:\WINDOWS\Tasks\ParetoLogic Registration3.job => rundll32.exe  C:\Program Files\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
Task: C:\WINDOWS\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\ParetoLogic Update Version3.job => C:\Program Files\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报
DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

rpnmo

rpnmo

Опубликовано
  • Автор
Опубликовано

Расшифровка прошла успешно! БОльшая часть файлов расшифрована. Огромное спасибо!

Sandor

Sandor

Опубликовано
Опубликовано
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • rbcfvehvze
      Файлы зашифрованы и переименованы в moshiax@aol.com
      Автор rbcfvehvze
      Файлы зашифрованы и переименованы в moshiax@aol.com
      http://rghost.ru/7hZgmxHL7
       
      http://rghost.ru/7rHT7qf9W
       
      посадил дед р е п к у вышел репка и убил дедку на moshiax@mail.ua
    • nkf
      шифровальщик, возможна дешифровка?
      Автор nkf
      Вирус зашифровал с расширением cbf
      Прилагаю шифровальщика
       
      Заранее благодарю
       

      Строгое предупреждение от модератора thyrex Не нужно выкладывать зверье в общий доступ
    • гари
      Файлы зашифрованы и переименованы в moshiax@aol.com
      Автор гари
      Добрый день!
      На рабочем столе вылезла надпись-твои файлы зашифрованы, если хочешь все вернуть-отправь 1 зашифрованный файл на почту : moshiax@aol.com  и так далее.
      прошу помочь!!!
      Лог прилагаю!
      С уважением Игорь(Гари)
      SHS.rar
    • гари
      Помогите восстановить файлы
      Автор гари
      Помогите восстановить файлы, зараженные  moshiax@aol.com, во вложении один из криптованных файлов.
      Заранее спасибо
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы SHS.rar
    • Божков
      Вирус зашифровал все офисные файлы
      Автор Божков
      Вирус зашифровал все офисные файлы
      Получились файлы вот такие, пример 
      email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-POYGHEWRFAWSUQMINJFVSOJGXTPKKFCXCZGD-13.07.2015 11@35@051467005.randomname-AEQHISUDRJNQQTXGWAJMISWRXGDGRV.XBV.cbf
       
      Как лечить не знаю.
      virus.rar
×
×
  • Создать...