Перейти к содержанию

Все зашифровалось .OMERTA

Владимир2525264367363463

Автор Владимир2525264367363463
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Владимир2525264367363463 Новичок

Владимир2525264367363463

Опубликовано
Опубликовано

Помогите расшифровать важные файлы, рабочие. Очень прошу. Файл который зашифрован, не могу прикрепить

CollectionLog-2018.10.15-18.42.zip

READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

SpyHunter - удалите.

 

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [AXOHYCEFhmXXca] = C:\Windows\system32\notepad.exe "C:\Users\user\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT"
O4 - HKCU\..\Run: [Wargaming.net Game Center] = D:\Новая папка\wgc.exe --background '' (file missing)
O4 - HKCU\..\Run: [World of Tanks (1)] = D:\World_of_Tanks\WargamingGameUpdater.exe  (file missing)
O4 - HKCU\..\Run: [World of Tanks] = D:\World_of_Tanks_CT\WargamingGameUpdater.exe  (file missing)

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
Владимир2525264367363463 Новичок

Владимир2525264367363463

Опубликовано
  • Автор
Опубликовано

SpyHunter - удалите.

 

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [AXOHYCEFhmXXca] = C:\Windows\system32\notepad.exe "C:\Users\user\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT"
O4 - HKCU\..\Run: [Wargaming.net Game Center] = D:\Новая папка\wgc.exe --background '' (file missing)
O4 - HKCU\..\Run: [World of Tanks (1)] = D:\World_of_Tanks\WargamingGameUpdater.exe  (file missing)
O4 - HKCU\..\Run: [World of Tanks] = D:\World_of_Tanks_CT\WargamingGameUpdater.exe  (file missing)

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

 

 Добрый день, я удалил spyhunter пофиксил только то чтовы сказали остальное оставил. лицензии нет на ваши продукты для запроса на расшифровку, нужно ли приобретать? И ниже все отчеты

FRST.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


лицензии нет на ваши продукты для запроса на расшифровку, нужно ли приобретать?
те кто здесь помогает добровольцы, а не сотрудники компании. Так что продукты не "наши" и могут ли сотрудники ЛК помочь с рассшифрокой мы не знаем. Связи с вирлабом у нас нет. Так что попробуйте обратиться в тех. поддержку и узнать у них смогут они помочь с рассшифровкой или нет. Если есть лицензия на другой продукт, к примеру на др. Веб, то можете обратиться к ним.
2018-10-06 08:24 - 2018-10-08 23:17 - 000000000 ____D C:\Users\user\Desktop\rfhnf

этот каталог вам знаком?

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\autoconfig.js [2018-09-19] <==== ATTENTION (Points to *.cfg file)
FF ExtraCheck: C:\Program Files\mozilla firefox\cck2.cfg [2018-09-19] <==== ATTENTION
2018-10-08 23:17 - 2018-10-08 23:17 - 000002671 _____ C:\Users\user\Downloads\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
2018-10-08 23:16 - 2018-10-08 23:17 - 000002671 _____ C:\Users\user\Desktop\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
2018-10-08 23:16 - 2018-10-08 23:16 - 000002671 _____ C:\Users\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
2018-10-08 23:16 - 2018-10-08 23:16 - 000002671 _____ C:\Users\Public\Downloads\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

 

И в хроме если сами не ставили, то советую удалить рассширения

CHR Extension: (Яндекс) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\aojoeckcmjghlchnnenfkbflndbepjpk [2018-07-29]
CHR Extension: (Mail.Ru) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhjhnafpiilpffhglajcaepjbnbjemci [2018-07-07]
CHR Extension: (Советник Яндекс.Маркета) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\djgdgdcfmdkficbifbnaacknblbkhhoc [2018-09-13]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcadgijmedbfgciegjomfpjcdchlhnif [2018-07-07]
CHR Extension: (Пульс) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmdifadmohoecidkceojcabeabmnhokf [2018-07-07]
Ссылка на комментарий
Поделиться на другие сайты
Владимир2525264367363463 Новичок

Владимир2525264367363463

Опубликовано
  • Автор
Опубликовано

каталог который  спрашивали знаком, удалил все и вот файл 

 

Сообщение от модератора Mark D. Pearlstone
Не нужно полностью цитировать сообщения.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты
Владимир2525264367363463 Новичок

Владимир2525264367363463

Опубликовано
  • Автор
Опубликовано

Ничего найдено не было.

 

Строгое предупреждение от модератора Mark D. Pearlstone
Ещё раз, не нужно цитировать полностью сообщение.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Media-Box
      KOZANOSTRA зашифровано
      Автор Media-Box
      Помогите пожалуйста😪 У меня также шифровальщик проник на два компьютера. Практически 11Тб фильмов и сериалов были испорчены. Это потеря потерь
      Файлы.zip
       
      Сообщение от модератора kmscom Сообщение перенесено из темы KOZANOSTRA зашифровано 2 ПК
    • quietstorm
      Зашифровано ant_dec
      Автор quietstorm
      Добрый день, зашифровало сервер на synology.
      Что самое странное полностью удалило сервер куда делалось резервное копирование hyper backup, просто при входе предлагает установить заново систему.
      Файлы с запиской в архиве во вложение пароль 123
      шифровальщик.rar
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Зашифровано ant_dec
    • itman
      История про зашифрованные файлы.
      Автор itman
      Добрый день всем! Хочу поведать вам всем поучительную историю как делать НЕ НАДО!!! В апреле месяце подцепили вирус -шифровальщик! Утром пришли  пользователи, а там все зашифровано на 3 севаках и 2х локалках на которых была расшаренная какая-то папка!! печаль !!! ну а что делать?! благо сисадмин делал копию раз в месяц акрониксом всех серверов, а бухгалтер помимо всего копии на внешний hdd каждое утро и хдд этот хранил в сейфе! (рекомендую всем бухгалтерам так делать!!!) и вот утром сисадмину звонок: -ААА!! Все пропало!! Что делать???? ничего не работает!!!  Помоги!!! и проч))) ну что проснулся от и начал смотреть что все таки произошло! на каждом из серваков при запуске вот такой текст: Encrypted by trust
       Email us for recovery: Rdpdik6@gmail.com
       In case of no answer, send to this email: Rdpp771@gmail.com
      Your unqiue ID:  писать не буду.
       Почти  все файлы (кроме *.dll и тому подобных и системных зашифрованы и переименованы по формуле имя.расширение. [Rdpdik6@gmail.com].lockedfile) и в каждой папке файлик txt c вот таким содержимым:
       Email 1:
      Rdpdik6@gmail.com
      Email 2:
      Rdpp771@gmail.com
      Send messages to both emails at the same time
      So send messages to our emails, check your spam folder every few hours
      ID: эту строчку сотру на всякий случай)
      If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
      Then send us a message with a new email
      Ну сисадмин начал заниматься восстановлением копии то есть пусть месячные но все же копии а базы 1с так вообще вчерашние!!!  (а это самое главное!) прежде чем все восстанавливать сделал копию того что зашифровали а мало ли)) ну и параллельно всё-таки решил он написать этим недо людям (медикам на букву П), что так и так копии есть ущерб не большой на то что пока будет восстанавливаться копия уйдет время давайте разойдемся все миром и в итоге договорились на 30 баксах. Сисадмин им перевел на их кошелек, а они его кинули ни хрена они ему не прислали!!!!
      Прошло какое-то время (месяца полтора!) и тут пользователи посмотрели что у одного там пара доков осталась в общей папке уже после того как делалась копия у другого тоже какие-то доки  у третьего вообще фото с корпоратива и подумали они что всё-таки давай заплатим этим  людям нетрадиционной ориентации) сумму которую они просят! Скинулись толпой. Вот на переговоры опять отправили сисадмина (как жаль его)! Опять шли переговоры пару дней а то и больше ну вроде нашли они компромисс с шантажистами в размере 250$ те опять прислали адрес куда переводить деньги причем второй раз без гарантий! Типа из всех гарантий попросили прислать любой зашифрованный файл не более мегабайта и они покажут что всё-таки могут расшифровать. Отправили им какой-то pdf они в ответ скрин файла только весь замазанный видно только пару слов по которым надо только больше догадываться! По итогу  Он им опять перевел общий банк:
      Получаете:
      200.0813 Tether TRC20 USDT
      На счет:
      TBgx7szAXYNSwPJz1Ama2K85kTXrCcsnG1
       
      И? что вы думаете? Эти деятели пишут:
      Sinior (это ник в телеге одного из шантажистов )
      Deposit $50
      Sinior
      I won't give you the key until you pay me $50.
      Типа вы не доплатили 50 баксов!! Вот так уважаемые читатели этого поста ни в коем случае не вздумайте им платить так как они вам все равно ничего не пришлют!!! А деньги вы потеряете!!! И ни одного файла не расшифруете там рассчитано не на то чтоб найти компромисс а на то чтоб выдурить с вас побольше денег!!!!!!!
      P.S.    Делайте резервные копии и храните их на внешних hhd  и не оставляйте их подключенными к компьютеру! Сделал копию и отключай да не удобно зато надежно!!!! Всем удачи!!!!
       
      Сообщение от модератора thyrex Перенесено из раздела по шифровальщикам
       
    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Зашифровали компьютер
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
×
×
  • Создать...