Перейти к содержанию

Шифровальщик *.DD

yakushenko@podosinki.net

Автор yakushenko@podosinki.net
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Scarab DiskDoctor. Будет только зачистка мусора.

 

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\Fonts\conhost.exe','');
 SetServiceStart('spoolmngservice', 4);
 DeleteService('spoolmngservice');
 SetServiceStart('dbssmgr', 4);
 DeleteService('dbssmgr');
 TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\spoolsv.exe');
 TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\ssms.exe');
 QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\ssms.exe','');
 QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\spoolsv.exe','');
 TerminateProcessByName('c:\windows\inf\ssmngservice\0009\v3.5.56385\1049\5.0\launcher.exe');
 TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\lsm.exe');
 TerminateProcessByName('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\mms.exe');
 QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\mms.exe','');
 QuarantineFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\lsm.exe','');
 QuarantineFile('c:\windows\inf\ssmngservice\0009\v3.5.56385\1049\5.0\launcher.exe','');
 DeleteFile('c:\windows\inf\ssmngservice\0009\v3.5.56385\1049\5.0\launcher.exe','32');
 DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\lsm.exe','32');
 DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\mms.exe','32');
 DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\1049\5.0\spoolsv.exe','32');
 DeleteFile('c:\windows\inf\ssmngservice\000d\1049\5.0\sql\ssms.exe','32');
 DeleteFile('C:\Windows\Fonts\conhost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

yakushenko@podosinki.net

yakushenko@podosinki.net

Опубликовано
  • Автор
Опубликовано

Спасибо большое за ответ

 

Всё сделали как вы написали

 

Результат загрузки Файл сохранён как 181030_074654_quarantine_5bd80c6e3ecff.zip Размер файла 2836353 MD5 4b0820e8e413de2c96e6d22bd1566da4

 

 

 

CollectionLog-2018.10.30-10.43.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

yakushenko@podosinki.net

yakushenko@podosinki.net

Опубликовано
  • Автор
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

 

 

готово

frst_addition.zip

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
S2 dbssmgr; C:\Windows\Inf\ssmngservice\000D\1049\5.0\SQL\lsm.exe [X]
S2 spoolmngservice; C:\Windows\Inf\ssmngservice\000D\1049\5.0\1049\5.0\mms.exe [X]
2018-10-28 06:50 - 2018-10-28 06:50 - 000002673 _____ C:\Users\USR1СV82\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:50 - 2018-10-28 06:50 - 000002673 _____ C:\Users\USR1СV82\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:50 - 2018-10-28 06:50 - 000002673 _____ C:\Users\USR1СV82\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:50 - 2018-10-28 06:50 - 000002673 _____ C:\Users\USR1СV82\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:50 - 2018-10-28 06:50 - 000002673 _____ C:\Users\rdp5\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:50 - 2018-10-28 06:50 - 000002673 _____ C:\Users\rdp5\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:50 - 2018-10-28 06:50 - 000002673 _____ C:\Users\rdp5\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:50 - 2018-10-28 06:50 - 000002673 _____ C:\Users\rdp5\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:50 - 2018-10-28 06:50 - 000002673 _____ C:\Users\rdp4\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:50 - 2018-10-28 06:50 - 000002673 _____ C:\Users\rdp4\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:50 - 2018-10-28 06:50 - 000002673 _____ C:\Users\rdp4\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:49 - 2018-10-28 06:49 - 000002673 _____ C:\Users\rdp4\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:49 - 2018-10-28 06:49 - 000002673 _____ C:\Users\rdp3\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:49 - 2018-10-28 06:49 - 000002673 _____ C:\Users\rdp3\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:49 - 2018-10-28 06:49 - 000002673 _____ C:\Users\rdp3\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:49 - 2018-10-28 06:49 - 000002673 _____ C:\Users\rdp3\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:49 - 2018-10-28 06:49 - 000002673 _____ C:\Users\rdp2\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:49 - 2018-10-28 06:49 - 000002673 _____ C:\Users\rdp2\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:49 - 2018-10-28 06:49 - 000002673 _____ C:\Users\rdp2\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:49 - 2018-10-28 06:49 - 000002673 _____ C:\Users\rdp2\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:49 - 2018-10-28 06:49 - 000002673 _____ C:\Users\rdp1\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:49 - 2018-10-28 06:49 - 000002673 _____ C:\Users\rdp1\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:48 - 2018-10-28 06:48 - 000002673 _____ C:\Users\rdp1\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:48 - 2018-10-28 06:48 - 000002673 _____ C:\Users\rdp1\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:48 - 2018-10-28 06:48 - 000002673 _____ C:\Users\Public\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:48 - 2018-10-28 06:48 - 000002673 _____ C:\Users\Public\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:48 - 2018-10-28 06:48 - 000002673 _____ C:\Users\Public\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:48 - 2018-10-28 06:48 - 000002673 _____ C:\Users\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:40 - 2018-10-28 07:03 - 000002673 _____ C:\Users\Администратор\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:40 - 2018-10-28 07:03 - 000002673 _____ C:\Users\Администратор\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:40 - 2018-10-28 06:40 - 000002673 _____ C:\Users\Администратор\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:40 - 2018-10-28 06:40 - 000002673 _____ C:\Program Files\HOW TO RECOVER ENCRYPTED FILES.TXT
2018-10-28 06:40 - 2018-10-28 06:40 - 000002673 _____ C:\Program Files (x86)\HOW TO RECOVER ENCRYPTED FILES.TXT
c:\windows\inf\ssmngservice
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
yakushenko@podosinki.net

yakushenko@podosinki.net

Опубликовано
  • Автор
Опубликовано

Больше помочь нечем

 

может быть стоит куда либо ещё обратиться по расшифровке файлов?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • GreyEnterprises
      Шифровальщик .omerta
      Автор GreyEnterprises
      10.12.2018 в 12.55 по полудню, меньше чем за 5 минут, было зашифровано 14 Гб вордовских и экселевских документов. причиной тому стало открытие 445 порта во внешку и общего доступа к флэшке на 16 Гб. документы на остальных дисках успел сохранить. За такое короткое время менее 5 Мин, нереально полностью изменить содержание каждого файла. Предполагаю, что изменения файлу были применены незначительные из этого следует, что по содержанию данных в файле, возможно его восстановить.
      Резервных копий всех файлов нет.
      Так же не имею лицензии на Антивирус Касперского.
      Прошу помощи в расшифровке файлов.
      прикрепляю два файла из 1с оригинальное расширение *.mxl  (отчеты 1с 7.7)
      и текстовый файл который был создан в этой же папке.
       
      в архиве, пароль 1111

      p.s. В этой теме, случай восстановления данных был подтвержден пострадавшим. 
      https://forum.kasperskyclub.ru/index.php?showtopic=60777&hl=omerta
      1111.rar
    • ksann
      Вирус шифровальщик *.tribute
      Автор ksann
      Здравствуйте!
      Зашифровались файлы на сервере, теперь у них расширение - *.tribute
      Не встречался вам такой зверенок?
      Рядом остается файл - HOW TO RECOVER ENCRYPTED FILES.txt
      p9NCgWyuwcB8eH19pDrr=4O6.tribute.txt - зашифрованный файл, только без расширения "txt"Напишите пожалуйста если вам пришлось с ним встретиться, как решили проблему с расшифровкой файлов? 
      HOW TO RECOVER ENCRYPTED FILES.TXT
      p9NCgWyuwcB8eH19pDrr=4O6.tribute.txt
    • _Пэ_
      Поймали шифровальщик *.lol Возможно-ли расшифровать?
      Автор _Пэ_
      Здравствуйте.
      Поймали вчера на сервер(через РДП) шифровальщик - все файлы кроме системных зашифрованы: вместо имени абракадабра.lol
      Лог во вложении.
      CollectionLog-2018.12.20-13.18.zip
    • UserUser_39
      Шифровальщик Omerta зашифровал файлы ПОМОГИТЕ!
      Автор UserUser_39
      Возможно ли расшифровать??
      CollectionLog-2018.12.17-09.44.zip
    • sdialups
      Вирус .lol шифровальщик
      Автор sdialups
      Добрый день! Прошу помощи в расшифровке вируса. Текст во вложении.
      Шифр.txt
×
×
  • Создать...