Перейти к содержанию

Шифровальщик .INFOWAIT

reindeer
 Share

Рекомендуемые сообщения

mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Не хотите рассказать как получили шифровальщика?

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
reindeer Новичок

reindeer

Опубликовано
  • Автор
Опубликовано

 

Не хотите рассказать как получили шифровальщика?

 

 

Да как обычно, по-глупости скачал программу для перекодирования видео с непроверенного источника.

Я ,в общем, попытался почистить вручную командой for /f "delims=" %a in ('dir/b/s/a-d \*.INFOWAIT') do ren "%a" "%~na"

Реестр тоже почистил вручную. Прогнал еще через CCleaner. Вроде следов не осталось. Работает все, кроме нескольких видеофайлов (в свойствах нет параметров видео и аудио и ни один плеер не открывает). Ну и файлы !readme, где вымогали деньги (290$) тоже удалил вручную.

FRST.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Т.е. с помощью пакетного файла Вы меняли расширения у файлов самостоятельно? 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
BootExecute: autocheck autochk * autopart.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HomePage: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3314759&octid=EB_ORIGINAL_CTID&ISID=MEFC3BAB2-8D85-4CD3-BB2E-1F208ACD2687&SearchSource=55&CUI=&UM=5&UP=SP7F56067C-9367-41A6-9E2A-F1224DDEE13A&SSPV=TBannersC_sp_ch
CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=1426688884&from=pcs&uid=ST1000DM003-9YN162_Z1D1BX2JXXXXZ1D1BX2J","hxxp://www.google.com/","hxxp://www.delta-homes.com/?type=hp&ts=1432869727&z=b40bd7df0d66ca1dbdc5418g9z3c8o8b7q1t1mdo9t&from=wpm05293&uid=ST1000DM003-9YN162_Z1D1BX2JXXXXZ1D1BX2J","hxxp://mail.ru/cnt/10445?gp=profitraf3","hxxp://www.oursurfing.com/?type=hp&ts=1446802243&z=e1b055aa33c55385aef3929gaz6z1q3b9e0o7o3zcc&from=amt&uid=st1000dm003-9yn162_z1d1bx2jxxxxz1d1bx2j","hxxp://www.mystartsearch.com/?type=hp&ts=1446804344&z=e253bc11cba25f5094e6176gdzaz6q0bae6z8e5q2m&from=cmi&uid=ST1000DM003-9YN162_Z1D1BX2JXXXXZ1D1BX2J","hxxp://www.istartsurf.com/?type=hp&ts=1446899441&z=bb02ece291f164580585c4dgdzdz1qcb7t6t7g7q9o&from=face&uid=ST1000DM003-9YN162_Z1D1BX2JXXXXZ1D1BX2J","hxxp://mail.ru/cnt/10445?gp=820473","hxxp://www.istartpageing.com/?type=hp&ts=1455545362&z=11cca50356b3f6455a52d61gbz2w7wdw4z5w0c5q3m&from=cmi&uid=ST1000DM003-9YN162_Z1D1BX2JXXXXZ1D1BX2J","hxxp://mail.ru/cnt/10445?gp=82
2018-11-18 16:29 - 2018-11-18 19:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge
2018-11-18 16:28 - 2018-11-18 16:34 - 000000000 ____D C:\Program Files (x86)\RelevantKnowledge
2018-11-18 16:28 - 2017-05-25 08:00 - 001182624 _____ (TMRG, Inc.) C:\Windows\system32\rlls64.dll
2018-11-18 16:28 - 2017-05-25 08:00 - 000784800 _____ (TMRG, Inc.) C:\Windows\SysWOW64\rlls.dll
2018-11-18 11:57 - 2018-11-18 12:10 - 000000000 ____D C:\Users\233note\AppData\Local\79ae5fda-8dd0-405e-8643-6d6b7a2907e4
2018-11-18 11:57 - 2018-11-18 12:04 - 000000000 ____D C:\Users\233note\AppData\Local\b37e543d-99e2-46a7-aa87-3104b6cd6dee
2018-11-18 11:56 - 2018-11-18 19:26 - 000000000 ____D C:\Users\Все пользователи\72101d1e-3ee9-4f7a-8b3d-44459f18b40b
2018-11-18 11:56 - 2018-11-18 19:26 - 000000000 ____D C:\ProgramData\72101d1e-3ee9-4f7a-8b3d-44459f18b40b
2018-11-18 11:49 - 2018-11-18 11:49 - 000000258 __RSH C:\Users\233note\ntuser.pol
2018-01-18 22:19 - 2017-12-18 18:59 - 000000034 _____ () C:\Users\233note\AppData\Roaming\0fg9t.tmp
2018-01-18 22:19 - 2018-01-15 20:37 - 001250976 _____ () C:\Users\233note\AppData\Roaming\sysa.sys
2018-11-18 11:46 - 2018-11-18 11:46 - 000140800 _____ () C:\Users\233note\AppData\Local\installer.dat
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
 
 

 

Ссылка на комментарий
Поделиться на другие сайты
reindeer Новичок

reindeer

Опубликовано
  • Автор
Опубликовано

 

Т.е. с помощью пакетного файла Вы меняли расширения у файлов самостоятельно? 

 

 

Именно. 

 

 Архива Дата_время.zip  не было.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Очень грустно когда человек делает все чтобы ему нельзя было помочь. 

 

 

C:\Users\233note\Documents\desktop.ini.INFOWAIT

В архиве прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • WhySpice
      Шифровальщик cyberfear
      От WhySpice
      Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox

      Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ
      Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt
      README.txt
    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • BOBO
      Шифровальщик WantToCry
      От BOBO
      Попросили создать новую тему не знаю почему ту закрыли вот создаю. Меня тоже взломали 25 числа hdd весит на роутере, smb открыт был. Покапалься в файлах были несколько оригинальных файлов и вроде шифрование AES в режиме ECB. Встал вопрос можно ли найти ключ шифрования если например нашел зашифрованный блок пробелов 16 байт. 
    • FineGad
      Шифровальщик WantToCry
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
×
×
  • Создать...