Зашифрованы файлы zeman@tutanota.de

[ckorohod]

Добрый день, зашифровали файлы 

 

Лог, прикладываю

CollectionLog-2018.05.30-14.06.zip

Изменено 30 мая, 2018 пользователем ckorohod

[Sandor]

Здравствуйте!

 

1. Записку с требованием выкупа вместе с парой зашифрованных файлов упакуйте в архив и прикрепите к следующему сообщению.

 

2. Следы COMODO Internet Security Essentials очистите по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

 

3. Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter 4

4. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ckorohod]

Готово

files.rar

Addition.txt

FRST.txt

[Sandor]

SpyHunter почему не удалили?

Пароли в TeamViewer и RDP смените.

 

Далее:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  2018-05-29 02:08 - 2018-05-29 02:08 - 000009046 _____ C:\Users\Иван\HOW DECRIPT FILES.hta
  2018-05-29 02:08 - 2018-05-29 02:08 - 000009046 _____ C:\Users\Иван\Documents\HOW DECRIPT FILES.hta
  2018-05-29 02:08 - 2018-05-29 02:08 - 000009046 _____ C:\Users\Иван\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW DECRIPT FILES.hta
  2018-05-29 02:08 - 2018-05-29 02:08 - 000009046 _____ C:\Users\Иван\AppData\Roaming\Microsoft\Windows\Start Menu\HOW DECRIPT FILES.hta
  2018-05-29 02:08 - 2018-05-29 02:08 - 000009046 _____ C:\Users\Иван\AppData\Roaming\HOW DECRIPT FILES.hta
  2018-05-29 02:08 - 2018-05-29 02:08 - 000009046 _____ C:\Users\Иван\AppData\LocalLow\HOW DECRIPT FILES.hta
  2018-05-29 02:08 - 2018-05-29 02:08 - 000009046 _____ C:\Users\Иван\AppData\Local\HOW DECRIPT FILES.hta
  2018-05-29 02:08 - 2018-05-29 02:08 - 000009046 _____ C:\Users\Иван\AppData\HOW DECRIPT FILES.hta
  2018-05-29 02:08 - 2018-05-29 02:08 - 000009046 _____ C:\Users\Алексей\Documents\HOW DECRIPT FILES.hta
  2018-05-29 02:05 - 2018-05-29 02:05 - 000009046 _____ C:\Users\Алексей\Desktop\HOW DECRIPT FILES.hta
  2018-05-29 02:04 - 2018-05-29 02:04 - 000009046 _____ C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW DECRIPT FILES.hta
  2018-05-29 02:04 - 2018-05-29 02:04 - 000009046 _____ C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\HOW DECRIPT FILES.hta
  2018-05-29 02:01 - 2018-05-29 02:01 - 000009046 _____ C:\Users\Алексей\AppData\Roaming\HOW DECRIPT FILES.hta
  2018-05-29 02:01 - 2018-05-29 02:01 - 000009046 _____ C:\Users\Алексей\AppData\LocalLow\HOW DECRIPT FILES.hta
  2018-05-29 01:35 - 2018-05-29 01:35 - 000009046 _____ C:\Users\Алексей\AppData\Local\Apps\HOW DECRIPT FILES.hta
  2018-05-29 01:33 - 2018-05-29 01:33 - 000009046 _____ C:\Users\Иван\Desktop\HOW DECRIPT FILES.hta
  2018-05-29 01:33 - 2018-05-29 01:33 - 000009046 _____ C:\Users\Все пользователи\HOW DECRIPT FILES.hta
  2018-05-29 01:33 - 2018-05-29 01:33 - 000009046 _____ C:\Users\Алексей\HOW DECRIPT FILES.hta
  2018-05-29 01:33 - 2018-05-29 01:33 - 000009046 _____ C:\Users\Алексей\AppData\Local\HOW DECRIPT FILES.hta
  2018-05-29 01:33 - 2018-05-29 01:33 - 000009046 _____ C:\Users\Алексей\AppData\HOW DECRIPT FILES.hta
  2018-05-29 01:33 - 2018-05-29 01:33 - 000009046 _____ C:\Users\Public\HOW DECRIPT FILES.hta
  2018-05-29 01:33 - 2018-05-29 01:33 - 000009046 _____ C:\Users\Public\Documents\HOW DECRIPT FILES.hta
  2018-05-29 01:33 - 2018-05-29 01:33 - 000009046 _____ C:\ProgramData\HOW DECRIPT FILES.hta
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[ckorohod]

SpyHunter удалил, но перезагрузил позже.

 

файл во вложении

 

 

Fixlog.txt

[Sandor]

Наберитесь терпения и подождите некоторое время.

[ckorohod]

Спасибо, жду

[regist]

@ckorohod, проверьте ЛС.

[ckorohod]

Спасибо, попробовал

 

Часть файлов пропущена (не расшифрована)

[regist]

все файлы HOW DECRIPT FILES.hta которые найдёте, включая с других пострадавших машин в сети пришлите.

[ckorohod]

Доброго, дня.

 

Собрал все что нашлось

HOW DECRIPT.zip

[regist]

Собрал все что нашлось

посмотрите, можете ещё сможете найти (иначе больше помочь нечем). И один файл, который не смогло рассшировать навсякий случай прикрепите.

[ckorohod]

Файлы прилагаю, в сети все ок, атаке подверглась только эта машина

 

 

1.7z

Изменено 31 мая, 2018 пользователем ckorohod

[regist]

Если больше найти не смогли, то значит увы . Осталось только

 

• Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.
 

[ckorohod]

Спасибо за помощь, готово

SecurityCheck.txt