Шифровальщик zeman@tutanota.de

[XXip]

Добрый день.

 

Абсолютно аналогичная ситуация в эту же ночь как и в теме 

 

https://forum.kasperskyclub.ru/index.php?showtopic=59441

 

Ночью через RDP все файлы на публичных шарах.

 

логи фарбар, запрос выкупа и зашифрованный файл прикладываю.

 

 

 

 

cripted_files.zip

farbar_log.zip

HOW DECRIPT FILES.zip

[thyrex]

Порядок оформления запроса о помощи

[XXip]

Старался следовать правилам.

Автологер только сейчас появилась возможность запустить.

прикладываю

CollectionLog-2018.05.30-09.51.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\mozilla.cfg [2018-02-14] <==== ATTENTION
2018-05-29 06:37 - 2018-05-29 06:37 - 000009045 _____ C:\Users\test\AppData\Roaming\HOW DECRIPT FILES.hta
2018-05-29 06:36 - 2018-05-29 06:36 - 000009045 _____ C:\Users\test\HOW DECRIPT FILES.hta
2018-05-29 06:36 - 2018-05-29 06:36 - 000009045 _____ C:\Users\test\AppData\Local\HOW DECRIPT FILES.hta
2018-05-29 06:36 - 2018-05-29 06:36 - 000009045 _____ C:\Users\test\AppData\HOW DECRIPT FILES.hta
2018-05-29 06:36 - 2018-05-29 06:36 - 000009045 _____ C:\Users\Public\HOW DECRIPT FILES.hta
2018-05-29 06:36 - 2018-05-29 06:36 - 000009045 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW DECRIPT FILES.hta
2018-05-29 06:36 - 2018-05-29 06:36 - 000009045 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\HOW DECRIPT FILES.hta
2018-05-29 06:36 - 2018-05-29 06:36 - 000009045 _____ C:\Users\Default\AppData\Roaming\HOW DECRIPT FILES.hta
2018-05-29 06:36 - 2018-05-29 06:36 - 000009045 _____ C:\Users\Default\AppData\Local\HOW DECRIPT FILES.hta
2018-05-29 06:36 - 2018-05-29 06:36 - 000009045 _____ C:\Users\Default\AppData\HOW DECRIPT FILES.hta
2018-05-29 06:36 - 2018-05-29 06:36 - 000009045 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW DECRIPT FILES.hta
2018-05-29 06:36 - 2018-05-29 06:36 - 000009045 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\HOW DECRIPT FILES.hta
2018-05-29 06:36 - 2018-05-29 06:36 - 000009045 _____ C:\Users\Default User\AppData\Roaming\HOW DECRIPT FILES.hta
2018-05-29 06:36 - 2018-05-29 06:36 - 000009045 _____ C:\Users\Default User\AppData\Local\HOW DECRIPT FILES.hta
2018-05-29 06:36 - 2018-05-29 06:36 - 000009045 _____ C:\Users\Default User\AppData\HOW DECRIPT FILES.hta

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера выполните вручную.

[XXip]

Сделано.

 

В какой момент необходимо перезагрузить ?

Farbar о перезагрузке ничего не сказал и в инструкции нет.

Fixlog.txt

Изменено 30 мая, 2018 пользователем XXip

[thyrex]

Ожидайте. Отвечу предположительно вечером

[thyrex]

Проверьте ЛС

[XXip]

Огромное спасибо.

Все расшифровалось

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[XXip]

 

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 01.06.2018 12:04:53

Path starting: C:\Users\saa\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: saa

VersionXML: 5.09is-30.05.2018

___________________________________________________________________________

 

Windows 10(6.3.14393) (x64) ServerStandard Версия: 1607 Lang: Russian(0419)

Дата установки ОС: 17.02.2018 06:08:44

Статус лицензии: Windows®, ServerStandard edition Windows находится в режиме уведомления

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Системный диск: C: ФС: [NTFS] Емкость: [118.8 Гб] Занято: [79.4 Гб] Свободно: [39.4 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.2068.14393.0 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен (Уровень 3)

Загружать автоматически и уведомлять об установке обновлений

Центр обновления Windows (wuauserv) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба остановлена

Службы удаленных рабочих столов (TermService) - Служба работает

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба работает

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

--------------------------- [ OtherUtilities ] ----------------------------

LibreOffice 6.0.1.1 v.6.0.1.1 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------

Google Chrome v.67.0.3396.62

Mozilla Firefox (ru) v.58.0.2.0 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

------------------ [ AntivirusFirewallProcessServices ] -------------------

C:\ProgramData\Microsoft\Windows Defender\platform\4.16.17656.18052-0\MsMpEng.exe v.4.16.17656.18052

MpCmdRun.exe

C:\ProgramData\Microsoft\Windows Defender\platform\4.16.17656.18052-0\NisSrv.exe v.4.16.17656.18052

Служба Защитника Windows (WinDefend) - Служба работает

Служба проверки сети Защитника Windows (WdNisSvc) - Служба работает

----------------------------- [ End of Log ] ------------------------------

 

[thyrex]

Выполните рекомендованное, и на этом закончим