Перейти к содержанию

Поймал шифратор id-5EB67ECE.[veracrypt@foxmail.com].adobe

shestakov.sergej
 Share

Рекомендуемые сообщения

shestakov.sergej Новичок

shestakov.sergej

Опубликовано
Опубликовано

Добрый вечер.

 

Поймал шифровальщик.

 

Помогите восстановить данные

 

Файл логов

Addition.txt
FRST.txt
во вложении
 
Спасибо за ваш труд.

CollectionLog-2019.01.30-22.21.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

@shestakov.sergej, прочтите и выполните внимательно правила. Самодеятельностью заниматься не надо, логи переименовывать тоже не надо. Этим вы только путаете, а как следствие осложняете помощь вам.

Ссылка на комментарий
Поделиться на другие сайты
shestakov.sergej Новичок

shestakov.sergej

Опубликовано
  • Автор
Опубликовано

Прошу прощения, был не прав.

Не те инструкции прочитал. )

 

Во вложении правильных архив.

Все делал по инструкции

 

Спасибо.

CollectionLog-2019.01.31-21.16.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5EB67ECE.[veracrypt@foxmail.com].adobe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5EB67ECE.[veracrypt@foxmail.com].adobe', '');
 QuarantineFile('C:\WINDOWS\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5EB67ECE.[veracrypt@foxmail.com].adobe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\User\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-5EB67ECE.[veracrypt@foxmail.com].adobe', '64');
 DeleteFile('C:\WINDOWS\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\User\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Ссылка на комментарий
Поделиться на другие сайты
shestakov.sergej Новичок

shestakov.sergej

Опубликовано
  • Автор
Опубликовано

1. KLAN-9533401919

2. Файл во вложении

3. Скрипт ругнулся на строки 

RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\User\AppData\Roaming\Info.hta', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');

 

пришлось запускать без этих строк.

 

Ребята, скажите реально расшифровать файлы ?

 

При чем у меня там файл виртуальной машины VirualBox размером 73 Гб

По факту только он нужен.

Остальное не важно.

CollectionLog-2019.01.31-23.35.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


Скрипт ругнулся на строки
наверно из-за того что в очередной раз инструкцию читали невнимательно и выполняли в старой версии AVZ, вместо той в которой указано. Кроме того выше написал

 

 


Самодеятельностью заниматься не надо
а вы берёте и правите скрипты.
Ссылка на комментарий
Поделиться на другие сайты
shestakov.sergej Новичок

shestakov.sergej

Опубликовано
  • Автор
Опубликовано

Перешел на инструкцию  по вашей ссылке (http://virusinfo.info/content.php?r=290-virus-detector), выполнил шаг №1 (скрин во вложении)

 

Вот ссылка

https://virusinfo.info/avz/avz4.zip

 

 

ее и скачал.

 

Поверьте, я грамотен. Занимаюсь разработкой ПО.

 

Комп заразил не я, мне нужно вытащить оттуда данные.

 

Ничего страшного, в том что эти два ключа реестра не удалились нет, файлы все равно удалены.

 

Мне нужно расшифровать только один файл, все остальное я снесу и поставлю заново

 

 

Жду дальнейших указаний.

 

Спасибо.

post-52837-0-14904100-1548967733_thumb.png

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

Как выполнить скрипт в AVZ?
 
Утилита AVZ находится в папке ..\AutoLogger\AVZ, т.е. там, откуда Вы запускали автоматический сборщик логов.

 

 


все остальное я снесу и поставлю заново
и возможно окончательно потеряете шанс на рассшифровку.

 

 


Мне нужно расшифровать только один файл
запрос на расшифровку.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • organism
      шифратор jinxishere@onionmail.org
      От organism
      в выходные зашифровались все файлы, включая 1с
      установленный касперский больше не работает
      прилагаю образцы файлов и  сообщение от вируса
      пароль архива 32768
      эквилибриум.zip
    • Gagik
      Поймал вирус
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • LeoNid2024
      Поймали шифровщика
      От LeoNid2024
      Был взломан сервер по rdp, все файлы зашифрованы, NAS к сожалению не работал.
      Система просканирована kvrt.exe. Найдено вредоносное ПО. 
       
       
       
      KVRT2020_Data.zip
      Зашифрованные файлы.zip
    • Максим Шахторин
      Тоже Поймали шифровальщика ELPACO-team
      От Максим Шахторин
      Здравствуйте, ELPACO-team залетел в наш сервер, зашифровал 1с, если кто научился дешифровать, дайте знать. Хакеры указали не вменяемую сумму за ключ.
    • AndOrNot
      Поймал шифровальщик ooo4ps и Bitlocker
      От AndOrNot
      Сегодня с утра обнаружилось, что файлы документов на системном диске сервера 1С зашифрованы шифровальщиком. В папках содержится файл FILES_ENCRYPTED.txt, файлы имеют расширение .ooo4ps, локальный диск E:, на котором содержались базы 1С, заблокирован Bitlocker. USB диск, подключенный к серверу и содержавший Windows Backup, пустой. Судя по времени создания файлов, вредонос работал утром в субботу. Прошу помощи.
       
      ooo4ps.zip
×
×
  • Создать...