Перейти к содержанию

зашифрован удаленный сервера crypto.support@aol.com

Бичу Михаил

Автор Бичу Михаил
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Бичу Михаил Новичок

Бичу Михаил

Опубликовано
Опубликовано

Здравствуйте, сегодня в 5,30 сервер был зашифрован. Компьютер и службы - все работает, но все файлы зашифрованы.

В требовании прислать денег фигурирует адрес почты crypto.support@aol.com.

Помогите, пожалуйста.


В приложении сбор логов, как требуется

CollectionLog-2018.04.10-10.52.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

В требовании прислать денег фигурирует адрес

Этот файл с требованием выкупа вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Бичу Михаил Новичок

Бичу Михаил

Опубликовано
  • Автор
Опубликовано

Здравствуйте, во вложении файлы скана FRST, пара файлов зашифрованных и файл с требованием


https://virusinfo.info/virusdetector/report.php?md5=F7D2EBA8C2B0D81BAB8925F7403D187Bэто ссылка на анализ, но в 12.08 пишет, что надо подождать 20-30 минут

frst64.rar

требование и файлы.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

К сожалению, тип вымогателя GlobeImposter 2.0 и расшифровки для него нет.

 

Дополнительно:

  • Загрузите GMER по одной из указанных ссылок:

    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

  • Временно отключите драйверы эмуляторов дисков.
  • Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  • Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  • Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  • Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  • После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробную инструкцию читайте в руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKU\S-1-5-21-659529732-3664465490-2895375501-1119\...\RunOnce: [BrowserUpdateCheck] => C:\Users\admin\AppData\Roaming\IntelFastFreezeService.exe [56320 2018-03-30] ()
2018-04-10 05:34 - 2018-04-10 05:34 - 000005476 _____ C:\Program Files\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Все пользователи\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Администратор\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Администратор\Downloads\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Администратор\Documents\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Администратор\Desktop\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Администратор\AppData\Local\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\server\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\server\Downloads\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\server\Documents\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\server\Desktop\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\server\AppData\Local\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Public\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Public\Downloads\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Public\Documents\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Public\Desktop\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\localadmin\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\localadmin\Downloads\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\localadmin\Documents\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\localadmin\Desktop\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\localadmin\AppData\Local\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\Default\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\backup\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\admin\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\admin\Downloads\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\admin\Documents\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\admin\Desktop\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Users\admin\AppData\Local\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\ProgramData\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\Program Files (x86)\how_to_back_files.html
2018-04-10 05:31 - 2018-04-10 05:31 - 000005476 _____ C:\how_to_back_files.html
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

 

 

Повторите логи по правилам.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • F_Aliaksei
      Зашифрованы копьютеры и сервера в домене
      Автор F_Aliaksei
      Добрый день. Зашифрованы компьютеры и сервера в домене.
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is HUQ7OPKpvUiVOz-fEMJo4L9kGcByDd1JvpaG1EG6QgE*KOZANOSTRA-HUQ7OPKpvUiVOz-fEMJo4L9kGcByDd1JvpaG1EG6QgE
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt Остатки МЦ Фомин.xls.rar СЧЕТ 10 ДЛЯ СПИСАНИЯ_ИТ.xls.rar
    • VladDos
      С77L зашифровали сервера 1С
      Автор VladDos
      11.06.25 в 4:50 были зашифрованы сервера с базами 1С, в ходе поисков были обнаружены инструменты хакеров и некоторые части дешифратора(который явно не должно было быть).
      Текстовый файлик с инструкцией для выкупа - стандартная схема. Да вот только не можем толку дать, что делать с ключем дешифрации и куда его девать чтобы расшифровать наши файлы.
      Зашифрованный файлик, декриптор и ключ прикладыDecryptor.zipваю.
    • evg-gaz
      зашифровали сервер
      Автор evg-gaz
      Зашифровали все файлы на сервереAddition.txtvirus.rarFRST.txt
    • GLADvanger
      Зашифровали файлы на сервере.
      Автор GLADvanger
      Добрый день!
      Зашифровали файлы добавили в каждому расширение .com
      При открытии любого документы с таким расширением вылезает окошко блокнота с текстом:
      Hi!
      All your files are encrypted!
      Your decryption ID: 8FKNMypGuRjkG2BXJeXToZ28gEGiD1Coc8C_Z00tqRU*tony@mailum.com
      We will solve your problem but you need to pay to get your files back
      Write us
      Our email - tony@mailum.com
       
      KVRT просканировал, нашел троян Trojan.Multi.Ifeodeb
       
      Логи в приерепленном
       
      FRST log.rar
    • Zakot
      Вирус зашифровал данные на сервере
      Автор Zakot
      На сервере вчера вирус зашифровал данные, возможно через RDP попал, сегодня обнаружили.
      virus.zipFRST.txtAddition.txt
×
×
  • Создать...