Перейти к содержанию

шифровальщик id-7A196440.[veracrypt@foxmail.com].adobe

VoyajeVoyaje
 Поделиться

Рекомендуемые сообщения

VoyajeVoyaje

VoyajeVoyaje

Опубликовано
Опубликовано (изменено)

Доброго дня 28.01.19, поймал шифровальщик, писем с подозрительным содержанием вроде бы не было, откуда взялся не ясно, касперский при этом ничего не выдал, заметили что файлы в папке scan зашифрованы. Скан касперского на вирусы ничего не выявил. 

Заранее спасибо.

CollectionLog-2019.01.31-15.06.zip

Изменено пользователем VoyajeVoyaje
regist

regist

Опубликовано
Опубликовано

1)

Hi uninstall [2017/06/30 14:39:21]-->"C:\Program Files (x86)\Starth\uninstall.exe"

деинсталируйте.
2)"Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: icq.desktop [command] = C:\Users\User\AppData\Roaming\ICQ\bin\icq.exe /startup (HKCU) (2017/06/29) (file missing)
O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)

 

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

VoyajeVoyaje

VoyajeVoyaje

Опубликовано
  • Автор
Опубликовано

1)

Hi uninstall [2017/06/30 14:39:21]-->"C:\Program Files (x86)\Starth\uninstall.exe"

деинсталируйте.

2)"Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: icq.desktop [command] = C:\Users\User\AppData\Roaming\ICQ\bin\icq.exe /startup (HKCU) (2017/06/29) (file missing)
O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

 

1. деинсталировал

2. пофиксил

3. Отчеты в приложении

Addition.txt

FRST.txt

VoyajeVoyaje

VoyajeVoyaje

Опубликовано
  • Автор
Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Уже создал запрос. А сам шифровальщик уже удален из системы действиями, что попросили сделать выше?

regist

regist

Опубликовано
Опубликовано

Он самоудалился, после того как пошифровал.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Буп
      Шифровальщик @BeGood327
      Автор Буп
      Зашифровали данные у всех компьютеров, что были в сети. 
      Выдаёт везде сообщение:
      FOR UNLOCK - CONTACT TELEGRAMM @BeGood327
    • merdOgli
      Шифровальщик
      Автор merdOgli
      Добрый день. у меня он же? 
       
      Dectryption-guide.txt
      Файлы выглядят как 
      GTDDOS209804.lic.[MJ-GC4976520831](Bleowalton@gmail.com).walton
      RSAKEY-MJ-PI4638251970.key  RSAKEY-MJ-PI4638251970.key - .txt
       
      + есть нетронутая VM с инсталлятором он не успел там запуститься. на ней нет антивируса. 
      Как действовать чтоб получить алгоритм шифрования? 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • gemlor
      шифровальщик [stopencrypt@qq.com].adobe
      Автор gemlor
      Добрый день.

      Словили шифровальщика  *id*[stopencrypt@qq.com].adobe .


      Зашифровал все файлы.

      Как точно попал на комп неизвестно, но 9 из 10 , что через почту.

      Главное касперский  удалил\вылечил архив, но это не помогло (могу приложить список действий касперского из "хранилища"), через несколько дней все было перешифровано.

      Прикрепляю файл логов.
      CollectionLog-2018.11.26-14.39.zip
    • Dkmgpu
      Файлы зашифрованы "Gust"
      Автор Dkmgpu
      Здравствуйте. Была взломана учетная запись с правами доменного администратора. Затем запущено шифрование на рабочей станции, а затем и на серверах. 
      CollectionLog-2018.07.25-14.42.zip
      Замок Сфорца.docx.zip
    • nsemak
      Необходима помощь в расшифровке файлов
      Автор nsemak
      Добрый день. Прошу помощи в расшифровке данных. Все по классике. Бухгалтер работала в терминальном сервере с правами админа, открыла почту и приехали. В архиве логи с программы "Farbar Recovery Scan Tool", зашифрованые файлы и файл о выкупе. 
       
      Файлы для анализа.zip
×
×
  • Создать...