Перейти к содержанию

Зашифровали все файлы (без расширения)

Den4eG01
 Поделиться

Рекомендуемые сообщения

Den4eG01

Den4eG01

Опубликовано
Опубликовано

Добрый день! Пришли с утра на работу,подключились к серверу RDP и там все файлы зашифрованы и имеют имена состоящие из букв и цифр не умеющие расширения! запросили 1000 USD в биткоинах! 

cureit.log

CollectionLog-2018.12.11-15.24.zip

regist

regist

Опубликовано
Опубликовано

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.
regist

regist

Опубликовано
Опубликовано

@Den4eG01, пожалуйста, ещё заархивируйте и прикрепите содержимое папки

C:\Windows\Tasks
regist

regist

Опубликовано
Опубликовано

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  • Запустите AVZ.
  • Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  • В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  • Закачайте полученный архив, как описано на этой странице.
  • Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Advanced IP Scanner 2.4 [20150402]-->MsiExec.exe /X{AF82E9E3-1FB1-4341-8168-EF83E7C67A11}

сами ставили?

Auslogics Disk Defrag [20121017]-->"C:\Program Files (x86)\Auslogics\Auslogics Disk Defrag\unins000.exe"
SpyHunter 5 [2018/12/10 08:33:16]-->C:\ProgramData\EnigmaSoft Limited\sh5_installer.exe -r sh5 -lng RU
Яндекс.Бар 6.0 для Internet Explorer [20111214]-->MsiExec.exe /X{35015585-072D-4D95-9509-E6205C6F7991}

деинсталируйте.
 
После этого сделайте свежие логи.

Den4eG01

Den4eG01

Опубликовано
  • Автор
Опубликовано

Advanced IP Scanner 2.4  да сами 

 
удалил 
 
Сведения о файле: Размер файла, байт: 10149177 MD5: 24E1DCEB23F20D2952EDFE60A4330A00

Файл успешно загружен и поставлен в очередь на обработку, спасибо

сюда прикреплять его ? 

 

логи новые 

 

 

 

CollectionLog-2018.12.12-18.53.zip

regist

regist

Опубликовано
Опубликовано

У вас в папке Автозагрузка находится папка, с кучей файлов

C:\Users\Денис.SRV-MAG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LOG\

это не нормально. Или удалите эту папку или переместите.

А также проверьте эту папку

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

+

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

regist

regist

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:
HKLM\...\Command Processor:  <==== ATTENTION
Startup: C:\Users\007\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\ASP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\mmx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\mmx2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\mmx3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\4D656D496E666F2E6C6E6B [2018-12-10] ()
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt [2018-12-10] ()
Startup: C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\виколомиец\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\Губкин\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\Денис.SRV-MAG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6170732E657865 [2018-12-10] ()
Startup: C:\Users\Денис.SRV-MAG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\Денис.SRV-MAG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LOG [2018-12-12] ()
Startup: C:\Users\Денис.SRV-MAG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\template [2015-06-29] ()
Startup: C:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\еакарпенко\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\евбогданова\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\евгруколенко\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\ЕкатеринаБабынина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\Катя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\КовчарМаргарита\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\мвсидорова\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\мнпинчукова\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\напозднякова\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\Нелли\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\оаплохих\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\оашаталова\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\Обмен_Риб\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\Обмен_Риб\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\76755F4272696566202D20D0AFD180D0BBD18BD0BA2E6C6E6B [2018-12-10] ()
Startup: C:\Users\овподчасова\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\оедобрынина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\Оператор1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\Плохих\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\Поздняков Михаил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\ПоздняковаАнна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\Рита\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\Тарасиков\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\Технолог\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\тсжеребцова\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\Харьков\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
Startup: C:\Users\ЧернавинаЕлена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6465736B746F702E696E69 [2018-12-10] ()
GroupPolicy: Restriction ? <==== ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [2018-12-11] (Google Inc.)
2018-12-10 06:09 - 2018-12-10 06:09 - 000000000 _____ C:\Users\мнпинчукова\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 06:08 - 2018-12-10 06:08 - 000000000 _____ C:\Users\мнпинчукова\AppData\Roaming\README.txt
2018-12-10 06:05 - 2018-12-10 06:05 - 000000000 _____ C:\Users\мнпинчукова\AppData\README.txt
2018-12-10 06:05 - 2018-12-10 06:05 - 000000000 _____ C:\Users\мнпинчукова\AppData\Local\README.txt
2018-12-10 06:04 - 2018-12-10 06:04 - 000000000 _____ C:\Users\мвсидорова\AppData\Roaming\README.txt
2018-12-10 06:04 - 2018-12-10 06:04 - 000000000 _____ C:\Users\мвсидорова\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 05:59 - 2018-12-10 05:59 - 000000000 _____ C:\Users\мвсидорова\AppData\README.txt
2018-12-10 05:59 - 2018-12-10 05:59 - 000000000 _____ C:\Users\мвсидорова\AppData\Local\README.txt
2018-12-10 05:56 - 2018-12-10 05:56 - 000000000 _____ C:\Users\ЕкатеринаБабынина\README.txt
2018-12-10 05:56 - 2018-12-10 05:56 - 000000000 _____ C:\Users\ЕкатеринаБабынина\AppData\Roaming\README.txt
2018-12-10 05:56 - 2018-12-10 05:56 - 000000000 _____ C:\Users\ЕкатеринаБабынина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 05:56 - 2018-12-10 05:56 - 000000000 _____ C:\Users\ЕкатеринаБабынина\AppData\README.txt
2018-12-10 05:56 - 2018-12-10 05:56 - 000000000 _____ C:\Users\ЕкатеринаБабынина\AppData\Local\README.txt
2018-12-10 05:55 - 2018-12-10 05:55 - 000000000 _____ C:\Users\евгруколенко\Desktop\README.txt
2018-12-10 05:55 - 2018-12-10 05:55 - 000000000 _____ C:\Users\евгруколенко\AppData\Roaming\README.txt
2018-12-10 05:55 - 2018-12-10 05:55 - 000000000 _____ C:\Users\евгруколенко\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 05:51 - 2018-12-10 05:51 - 000000000 _____ C:\Users\евгруколенко\README.txt
2018-12-10 05:51 - 2018-12-10 05:51 - 000000000 _____ C:\Users\евгруколенко\AppData\README.txt
2018-12-10 05:51 - 2018-12-10 05:51 - 000000000 _____ C:\Users\евгруколенко\AppData\Local\README.txt
2018-12-10 05:50 - 2018-12-10 05:50 - 000000000 _____ C:\Users\евбогданова\Desktop\README.txt
2018-12-10 05:50 - 2018-12-10 05:50 - 000000000 _____ C:\Users\евбогданова\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 05:49 - 2018-12-10 05:49 - 000000000 _____ C:\Users\евбогданова\AppData\Roaming\README.txt
2018-12-10 05:42 - 2018-12-10 05:42 - 000000000 _____ C:\Users\евбогданова\README.txt
2018-12-10 05:42 - 2018-12-10 05:42 - 000000000 _____ C:\Users\евбогданова\AppData\README.txt
2018-12-10 05:42 - 2018-12-10 05:42 - 000000000 _____ C:\Users\евбогданова\AppData\Local\README.txt
2018-12-10 05:42 - 2018-12-10 05:42 - 000000000 _____ C:\Users\еакарпенко\Desktop\README.txt
2018-12-10 05:42 - 2018-12-10 05:42 - 000000000 _____ C:\Users\еакарпенко\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 05:41 - 2018-12-10 05:41 - 000000000 _____ C:\Users\еакарпенко\AppData\Roaming\README.txt
2018-12-10 05:39 - 2018-12-10 05:39 - 000000000 _____ C:\Users\еакарпенко\README.txt
2018-12-10 05:39 - 2018-12-10 05:39 - 000000000 _____ C:\Users\еакарпенко\AppData\README.txt
2018-12-10 05:39 - 2018-12-10 05:39 - 000000000 _____ C:\Users\еакарпенко\AppData\Local\README.txt
2018-12-10 05:39 - 2018-12-10 05:39 - 000000000 _____ C:\Users\Дмитрий\README.txt
2018-12-10 05:39 - 2018-12-10 05:39 - 000000000 _____ C:\Users\Дмитрий\AppData\Roaming\README.txt
2018-12-10 05:39 - 2018-12-10 05:39 - 000000000 _____ C:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 05:39 - 2018-12-10 05:39 - 000000000 _____ C:\Users\Дмитрий\AppData\README.txt
2018-12-10 05:38 - 2018-12-12 18:22 - 000000272 _____ C:\Users\Денис.SRV-MAG\Desktop\README.txt
2018-12-10 05:38 - 2018-12-10 05:38 - 000000000 _____ C:\Users\Денис.SRV-MAG\AppData\Roaming\README.txt
2018-12-10 05:38 - 2018-12-10 05:38 - 000000000 _____ C:\Users\Денис.SRV-MAG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 05:38 - 2018-12-10 05:38 - 000000000 _____ C:\Users\Денис.SRV-MAG\AppData\LocalLow\README.txt
2018-12-10 05:36 - 2018-12-10 05:36 - 000000000 _____ C:\Users\Денис.SRV-MAG\AppData\README.txt
2018-12-10 05:36 - 2018-12-10 05:36 - 000000000 _____ C:\Users\Денис.SRV-MAG\AppData\Local\README.txt
2018-12-10 05:32 - 2018-12-10 05:32 - 000000000 _____ C:\Users\виколомиец\AppData\Roaming\README.txt
2018-12-10 05:32 - 2018-12-10 05:32 - 000000000 _____ C:\Users\виколомиец\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 05:32 - 2018-12-10 05:32 - 000000000 _____ C:\Users\виколомиец\AppData\LocalLow\README.txt
2018-12-10 05:29 - 2018-12-10 05:29 - 000000000 _____ C:\Users\виколомиец\README.txt
2018-12-10 05:29 - 2018-12-10 05:29 - 000000000 _____ C:\Users\виколомиец\AppData\README.txt
2018-12-10 05:29 - 2018-12-10 05:29 - 000000000 _____ C:\Users\виколомиец\AppData\Local\README.txt
2018-12-10 05:29 - 2018-12-10 05:29 - 000000000 _____ C:\Users\Андрей\AppData\Roaming\README.txt
2018-12-10 05:29 - 2018-12-10 05:29 - 000000000 _____ C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 05:29 - 2018-12-10 05:29 - 000000000 _____ C:\Users\Андрей\AppData\LocalLow\README.txt
2018-12-10 05:27 - 2018-12-10 05:27 - 000000000 _____ C:\Users\Андрей\AppData\README.txt
2018-12-10 05:27 - 2018-12-10 05:27 - 000000000 _____ C:\Users\Андрей\AppData\Local\README.txt
2018-12-10 05:27 - 2018-12-10 05:27 - 000000000 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2018-12-10 05:27 - 2018-12-10 05:27 - 000000000 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 05:27 - 2018-12-10 05:27 - 000000000 _____ C:\Users\Администратор\AppData\README.txt
2018-12-10 05:27 - 2018-12-10 05:27 - 000000000 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2018-12-10 05:27 - 2018-12-10 05:27 - 000000000 _____ C:\Users\Администратор\AppData\Local\README.txt
2018-12-10 05:27 - 2018-12-10 05:27 - 000000000 _____ C:\Users\USR1CV82\AppData\Roaming\README.txt
2018-12-10 05:27 - 2018-12-10 05:27 - 000000000 _____ C:\Users\USR1CV82\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 05:27 - 2018-12-10 05:27 - 000000000 _____ C:\Users\USR1CV82\AppData\README.txt
2018-12-10 05:27 - 2018-12-10 05:27 - 000000000 _____ C:\Users\USR1CV82\AppData\Local\README.txt
2018-12-10 05:27 - 2018-12-10 05:27 - 000000000 _____ C:\Users\TEMP\AppData\Roaming\README.txt
2018-12-10 05:27 - 2018-12-10 05:27 - 000000000 _____ C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 05:27 - 2018-12-10 05:27 - 000000000 _____ C:\Users\TEMP\AppData\README.txt
2018-12-10 05:27 - 2018-12-10 05:27 - 000000000 _____ C:\Users\TEMP\AppData\Local\README.txt
2018-12-10 05:26 - 2018-12-10 05:26 - 000000000 _____ C:\Users\mmx3\AppData\Roaming\README.txt
2018-12-10 05:26 - 2018-12-10 05:26 - 000000000 _____ C:\Users\mmx3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 05:26 - 2018-12-10 05:26 - 000000000 _____ C:\Users\mmx3\AppData\README.txt
2018-12-10 05:26 - 2018-12-10 05:26 - 000000000 _____ C:\Users\mmx3\AppData\Local\README.txt
2018-12-10 05:26 - 2018-12-10 05:26 - 000000000 _____ C:\Users\mmx2\Desktop\README.txt
2018-12-10 05:26 - 2018-12-10 05:26 - 000000000 _____ C:\Users\mmx2\AppData\Roaming\README.txt
2018-12-10 05:26 - 2018-12-10 05:26 - 000000000 _____ C:\Users\mmx2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 05:26 - 2018-12-10 05:26 - 000000000 _____ C:\Users\mmx2\AppData\LocalLow\README.txt
2018-12-10 05:25 - 2018-12-10 05:25 - 000000000 _____ C:\Users\mmx2\AppData\README.txt
2018-12-10 05:25 - 2018-12-10 05:25 - 000000000 _____ C:\Users\mmx2\AppData\Local\README.txt
2018-12-10 05:22 - 2018-12-10 05:22 - 000000000 _____ C:\Users\mmx\Desktop\README.txt
2018-12-10 05:21 - 2018-12-10 05:21 - 000000000 _____ C:\Users\mmx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 05:18 - 2018-12-10 05:18 - 000000000 _____ C:\Users\mmx\AppData\Roaming\README.txt
2018-12-10 05:18 - 2018-12-10 05:18 - 000000000 _____ C:\Users\mmx\AppData\LocalLow\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\mmx\AppData\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\mmx\AppData\Local\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\Default\AppData\Roaming\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\Default\AppData\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\Default\AppData\Local\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\Default User\AppData\Roaming\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\Default User\AppData\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\Default User\AppData\Local\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\Classic .NET AppPool\AppData\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\Classic .NET AppPool\AppData\Local\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\ASP\AppData\Roaming\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\ASP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\ASP\AppData\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\ASP\AppData\LocalLow\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\ASP\AppData\Local\README.txt
2018-12-10 04:58 - 2018-12-10 04:58 - 000001219 _____ C:\Users\Andre\Desktop\README.txt
2018-12-10 04:56 - 2018-12-10 04:56 - 000001219 _____ C:\Users\007\AppData\Roaming\README.txt
2018-12-10 04:56 - 2018-12-10 04:56 - 000001219 _____ C:\Users\007\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 04:56 - 2018-12-10 04:56 - 000001219 _____ C:\Users\007\AppData\README.txt
2018-12-10 04:56 - 2018-12-10 04:56 - 000001219 _____ C:\Users\007\AppData\Local\README.txt
2018-12-10 04:55 - 2018-12-10 04:55 - 000001219 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\README.txt
2018-12-10 04:51 - 2018-12-10 04:51 - 000001219 _____ C:\ProgramData\README.txt
2018-12-10 04:39 - 2018-12-10 04:39 - 000001219 _____ C:\Program Files (x86)\README.txt
2018-12-10 04:36 - 2018-12-10 04:36 - 000001219 _____ C:\Program Files\README.txt
2018-12-10 04:36 - 2018-12-10 04:36 - 000001219 _____ C:\Program Files\Common Files\README.txt
2018-12-10 04:24 - 2018-12-10 04:24 - 000001219 _____ C:\Users\Администратор\Desktop\README.txt
2018-12-07 13:40 - 2018-12-10 06:29 - 000000192 _____ C:\Users\Оператор1\AppData\Roaming\Microsoft\Windows\Start Menu\6465736B746F702E696E69
2018-12-10 05:38 - 2018-12-10 05:38 - 000000000 _____ () C:\Users\Денис.SRV-MAG\AppData\Roaming\README.txt
2018-12-10 05:36 - 2018-12-10 05:36 - 000000000 _____ () C:\Users\Денис.SRV-MAG\AppData\Local\README.txt
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

+ один README.txt прикрепите к сообщению.

regist

regist

Опубликовано
Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

 

и пример зашифрованного файла заархивируйте и прикрепите к сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ilk006
      Шифратор с почтой kares@keemail.me
      Автор ilk006
      Добрый день!
      Шифровальщик с обратной почтой зашифровал почти все на компьютере и сетевом хранилище.
       
      README.txt следующего содержания:
       
      Содержание README.txt:
        Логи приложить не могу т.к. компьютер-источник не загружается и восстанавливать я его не собираюсь. Или нужно как-то попытаться запустить компьютер для сборки логов и проверки с помощью FRST?   Способ заражения пока неизвестен, предположительно с рабочей флешки жены.   Стоит ли надеяться и искать способы расшифровки или безнадежно?    
    • rrustam
      Заражение файлов на сервере
      Автор rrustam
      Добрый день, утром вышли на работу и увидели в общей папке на сервере преобразованные файлы
       
      в следующем формате "D0A0D0B5D0B5D181D182D18020D0BDD0B5D0B2D0B5D180D0BDD0BE20D0BED184D0BED180D0BCD0BBD0B5D0BDD0BDD18BD18520D0B820D0BED182D181D183D182D181D0B2D183D18ED189D0B8D18520D09FD0945FD09ED091D0A0D090D097D095D0A62E786C7378" это название файла и без расширения.
      Вот текст письма вымогателей
       "Your files are encrypted!
      YOUR PERSONAL ID  4OkaB2XymdtH5Yf0156q9Ii0YWLze9OWSXcH4MwY --------------------------------------------------------------------------------- Discovered a serious vulnerability in your network security. No data was stolen and no one will be able to do it while they are encrypted. For you we have automatic decryptor and instructions for remediation. For instructions, write to us on one of our mails  MotokoKusanagi@tutamail.com  or  ShotaroKaneda@tutanota.de --------------------------------------------------------------------------------- You will receive automatic decryptor and all files will be restored --------------------------------------------------------------------------------- * To be sure in getting the decryption, you can send one file(less than 10MB) to MotokoKusanagi@tutamail.com  or ShotaroKaneda@tutanota.de In the letter include your personal ID(look at the beginning of this document). Attention! Attempts to self-decrypting files will result in the loss of your data Decoders other users are not compatible with your data, because each user's unique encryption key"   Масштаб бедствия огромный, жду ответа  CollectionLog-2018.12.14-10.00.zip
    • suba-ru
      Шифровальщик на Server2008 R2
      Автор suba-ru
      Добрый день. Знакомые позвонили- зашифрованы бызы 1с и содержимое архивов на Win2008R2.
      Пока доступа к компу нету- надо ехать/ Сориентируйте есть смысл пытаться расшифровать или нет?
      В папках файлик такой. Файлы без расширений цифробуквеный набр.. Файлы Exel  со слов  не зашифрованы
        Заранее спасибо за ответ

      Что-то файл не прицепился
      Your files are encrypted! YOUR PERSONAL ID rdOGG72awGSkwHZLkfAmSaoZXrluIddzjdyCws7f --------------------------------------------------------------------------------- Discovered a serious vulnerability in your network security. No data was stolen and no one will be able to do it while they are encrypted. For you we have automatic decryptor and instructions for remediation. --------------------------------------------------------------------------------- You will receive automatic decryptor and all files will be restored --------------------------------------------------------------------------------- * To be sure in getting the decryption, you can send one file(less than 10MB) to kares@keemail.me or kares@tuta.io In the letter include your personal ID(look at the beginning of this document). Attention! Attempts to self-decrypting files will result in the loss of your data Decoders other users are not compatible with your data, because each user's unique encryption key ---------------------------------------------------------------------------------
    • receiver
      Зашифрованы базы 1С
      Автор receiver
      Проблема один в один.

      https://forum.kasperskyclub.ru/index.php?showtopic=60803&page=0


      Сообщение от модератора SQ Пожалуйста не пишите в чужих темах. Каждый случай уникален.
    • papakarlo
      Зашифрованы базы 1С
      Автор papakarlo
      Через RDP зашифрованы базы 1С и все что с 1С связано.
       
       
       
      Прошу помощи с расшифровкой.
       
      Заранее спасибо
      CollectionLog-2018.10.22-15.05.zip
      README.txt
      files.zip
×
×
  • Создать...