Перейти к содержанию

Шифровальщик с расширением .usa

Константин Ворожкин

Автор Константин Ворожкин
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Константин Ворожкин

Константин Ворожкин

Опубликовано
Опубликовано

Добрый день. Походу тот же шифровальщик с расширением .usa (.[madbad@foxmail.com].usa). зашифровка пошла 26,01,2019 в 20.57.
прикрепляю архив с зашифрованными файлами, и по ответу предыдущему вопрошающему текстовые файлы рекомендованной утилиты.

Сообщение от модератора thyrex
Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=61728

Зашифрованные файлы.rar

Addition&FRST.rar

thyrex

thyrex

Опубликовано
Опубликовано

С расшифровкой помочь не сможем. Будет только зачистка мусора в системе.

 

SpyHunter 5

Кнопка "Яндекс" на панели задач

Менеджер браузеров

удалите через Установку программ.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
CHR HomePage: Default -> hxxp://search.conduit.com/?ctid=CT3323737&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=5&UP=SP69C614C3-A682-42E2-B8CE-CAE0E2DD6F3D&SSPV=
CHR StartupUrls: Default -> "hxxp://search.conduit.com/?ctid=CT3323737&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=5&UP=SP69C614C3-A682-42E2-B8CE-CAE0E2DD6F3D&SSPV=","","hxxp://www.sweet-page.com/?type=hp&ts=1397835396&from=cor&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F007762977629","hxxp://www.sweet-page.com/?type=hppp&ts=1397835613&from=cor&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F007762977629","hxxp://www.delta-homes.com/?type=hp&ts=1402561206&from=wpm0612&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F007762977629","hxxp://mail.ru/cnt/10445?gp=anvir2","hxxps://mysearch.avg.com?cid={D221236A-410A-41C1-B37B-AECC79D41E2F}&mid=f72ab3a06fbf47d29d7d4597c654ca7a-4ed702f02302085e7ffb725011a581125f9fae24&lang=ru&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-09-13 10:42:36&v=18.1.9.799&pid=safeguard&sg=&sap=hp","hxxp://mail.ru/cnt/10445?gp=789169"
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mbckjcfnjmoiinpgddefodcighgikkgn] - hxxps://clients2.google.com/service/update2/crx
2018-03-11 10:56 - 2018-01-25 22:05 - 000187712 _____ () C:\Users\Администратор\AppData\Local\Temp\downloader.exe
Task: {08AD4682-FF60-4358-AC2B-88A2317C1189} - \G2MUploadTask-S-1-5-21-3024522549-3447984359-180256545-1000 -> No File <==== ATTENTION
Task: {67BE042E-C079-47FA-9BCA-C79F43C9CD7D} - \G2MUpdateTask-S-1-5-21-3024522549-3447984359-180256545-1000 -> No File <==== ATTENTION
Task: {B3534EB7-761C-444C-A4A9-6FC987341C52} - \{692F4270-A236-4920-8560-102F085A84CD} -> No File <==== ATTENTION
Task: {BAC9C094-47D1-49C0-B2BB-14B8F853A550} - \Opera scheduled Autoupdate 1490077418 -> No File <==== ATTENTION
Task: {E5F11724-37B7-45FE-9413-32DD511B8C2B} - \{E431F75C-45E5-430A-9D69-C0F5E32F2DC8} -> No File <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":
WMI:subscription\__EventFilter->BVTFilter:
WMI:subscription\CommandLineEventConsumer->BVTConsumer:
AlternateDataStreams: C:\Windows:CM_05f32bac1588d9593f1d088e06c7282137af1ae97e88e5ffb6a796c5df0ef32d [32]
AlternateDataStreams: C:\Windows:CM_596bebebac3954f3110d99010c32f9ed826c25eb8aad415950985aea60b3eb24 [32]
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Константин Ворожкин

Константин Ворожкин

Опубликовано
  • Автор
Опубликовано

прикрепляю последние сделанные логи после запуска фикса

Fixlog.txt

Константин Ворожкин

Константин Ворожкин

Опубликовано
  • Автор
Опубликовано

Спасибо и на этом, что же скопирую все утраченные файлы на внешний носитель, и буду ждать и надеяться на выход дешифратора. Подскажите как можно защититься от подобных ситуаций? Дело в том, что компьютер находится в локальной сети, и вирус изначально попал на другой компьютер: там зашифровал все данные на самом пк, и так же все данные с общим доступом в сети (в том числе и данные в папке на моём компьютере).

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Grecener
      Coronavirus
      Автор Grecener
      Добрый день, случилась такая же беда, что и у Lom1k.
      Помогите пожалуйста чем можно.
      Сделал все как описано ранее, прикладываю фалы, сделано на зараженной машине. 
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы. FRST.txt
      Addition.txt
      info.hta.zip
    • eduard777
      возможно ли расшифровать файлы от trojan-ransom.win32.crysis.to?
      Автор eduard777
      Добрый день!
      Подскажите, можно ли расшифровать файлы после trojan-ransom.win32.crysis.to?
      если да, помогите пожалуйста.
      логи прикреплены
      CollectionLog-2020.02.05-21.11.zip
    • mosfod
      HARMA
      Автор mosfod
      Добрый вечер.
      Вирус зашифровал базы 1с и другие файлы. образцы прикрепляю. подскажите что можно сделать.
       
      https://yadi.sk/d/1wXfTa_gfYO7Xg
       
      https://yadi.sk/d/FIgNg_XBDcjCbA
       
      в файле записке написано
       
      all your data has been locked us
      You want to return?
      Write email testfile1@protonmail.com or bitcoins12@tutanota.com

      результат сканирования AutoLogger
      https://yadi.sk/d/IXcarjfPwSxuXw
    • Jordan
      [РЕШЕНО] На Windows 2008 отработал шифровальщик
      Автор Jordan
      Добрый день.
       
      На Windows2008 был подобран пароль и запущен шифровальщик. После шифрования файлы имеют вид [имя файла].id-********.[*******@aol.com].bot
      После обнаружения данной ситуации вирус был найден и удален, но на всякий случай был восстановлен системный раздел из бэкапа.
      Хотелось бы понимать перспективы дешифрации. Спасибо.
      CollectionLog-2019.12.24-19.54.zip
      FRST.zip
    • lex445
      Зашифрованы файлы .harma
      Автор lex445
      Прошу помощи в расшифровке файлов .harma . Сам компьютер почистил . Содержимое файла FILES ENCRYPTED.txt :
      all your data has been locked us
      You want to return?
      Write email maximum@onlinehelp.host
       
      Все фалы переименованы с расширением .id-F07E71A4.[maximum@onlinehelp.host ].harma
       
      Буду очень признателен в помощи.
       
       
      CollectionLog-2019.12.17-19.10.zip
×
×
  • Создать...