поймал шифратор secure32@cock.li

[alex_84]

Доброго времени суток поймал шифратор

 

помогите с рашифровкой

 

 

Расшифровать файлы и работать дальше.TXT

Напишите на почту - secure32@cock.li

====================================================================================================

 

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!

 

Ваш личный идентификатор

 

pAQAAAAAAACazRPRHZTHF0QkCER=46Hrrt6z3NbbVYBJmCovXChr1VqYq0TMZK5KWr09tVvIUgZmvqnPqEXFlOoaRxr2fxerNgpi

cqfVhitXYpGm8x+euyr0h3VabJl6hq+oxGsP17P=L8hbr6UWLfJm=X2uie3Cuy7nQMtN=1Htm9mQkBRRH6yD6oRL4QoSqoj5SphShoh

=RzQJhTK175LjRsIk1tDs=toKlPFfIdDGtce=aem9RZxrLDYMNBA8JJ0v0ukRv+1Htm9mQkBRRH6yD6oRL4QoSqoj5SphShoh

Dr3TDl9f0K=dMB1i7aAanxhD4wGHsiZds9X4bfgxKsHiCAg0GNJTss0KBQ7g0N64=1Htm9mQkBRRH6yD6oRL4QoSqoj5SphShoh

E3SCw3vYYneOQed8g3N6wq8aQRYrqifEsUug1VcxDqCCnQz4SlJgxGk=Yb00Rh5ty5HIT=1Htm9mQkBRRH6yD6oRL4QoSqoj5SphShoh

+OgcJZQDi=lbplGAsNK3YoZWbgvLLfabV0TnGtIs6nwj1GzRyLvDAaX+cHEonREGRuC51RFYohIEyZ+scEd0unaFDNk9ZJnG3fxw

deM4V8qzrBE=4hmLWmINcwZsDIFeUT8Rq7CFHSnth0WdSjJHlE5wjZfz5PtZWWJ5ZJRjkcDJnJ+5wsNCtmKk+O1LBfbpZ7CIUBhZ

5Zn6IWJCFIkfKdFMM8RzR45ahkNOBKIGeW34aUY3RKV4o5dQRIdAdmXaGBuwdIK4YzzAQ46Vb4QzAaIlR5Hk4YHlIVjNbcF4bU96

1Htm9mQkBRRH6yD6oRL4QoSqoj5SphShoh+8DfAk

 

Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы.

Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.

Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)

 

Для расшифровки данных:

 

Напишите на почту - secure32@cock.li

 

*В письме указать Ваш личный идентификатор

*Прикрепите 2 файла до 1 мб для тестовой расшифровки.

мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.

 

-Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.

-Написав нам на почту вы получите дальнейшие инструкции по оплате.

 

 

В ответном письме Вы получите программу для расшифровки.

Запустите инструмент на вашем компьютере и безопасно расшифруйте все ваши данные.

 

Мы гарантируем:

100% успешное восстановление всех ваших файлов

100% гарантию соответствия

100% безопасный и надежный сервис

 

Внимание!

* Не пытайтесь удалить программу или запускать антивирусные средства

* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных

* Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя

уникальный ключ шифрования

====================================================================================================

 

Ваш личный идентификатор

 

pAQAAAAAAACazRPRHZTHF0QkCER=46Hrrt6z3NbbVYBJmCovXChr1VqYq0TMZK5KWr09tVvIUgZmvqnPqEXFlOoaRxr2fxerNgpi

cqfVhitXYpGm8x+euyr0h3VabJl6hq+oxGsP17P=L8hbr6UWLfJm=X2uie3Cuy7nQMtN=1Htm9mQkBRRH6yD6oRL4QoSqoj5SphShoh

=RzQJhTK175LjRsIk1tDs=toKlPFfIdDGtce=aem9RZxrLDYMNBA8JJ0v0ukRv+1Htm9mQkBRRH6yD6oRL4QoSqoj5SphShoh

Dr3TDl9f0K=dMB1i7aAanxhD4wGHsiZds9X4bfgxKsHiCAg0GNJTss0KBQ7g0N64=1Htm9mQkBRRH6yD6oRL4QoSqoj5SphShoh

E3SCw3vYYneOQed8g3N6wq8aQRYrqifEsUug1VcxDqCCnQz4SlJgxGk=Yb00Rh5ty5HIT=1Htm9mQkBRRH6yD6oRL4QoSqoj5SphShoh

+OgcJZQDi=lbplGAsNK3YoZWbgvLLfabV0TnGtIs6nwj1GzRyLvDAaX+cHEonREGRuC51RFYohIEyZ+scEd0unaFDNk9ZJnG3fxw

deM4V8qzrBE=4hmLWmINcwZsDIFeUT8Rq7CFHSnth0WdSjJHlE5wjZfz5PtZWWJ5ZJRjkcDJnJ+5wsNCtmKk+O1LBfbpZ7CIUBhZ

5Zn6IWJCFIkfKdFMM8RzR45ahkNOBKIGeW34aUY3RKV4o5dQRIdAdmXaGBuwdIK4YzzAQ46Vb4QzAaIlR5Hk4YHlIVjNbcF4bU96

1Htm9mQkBRRH6yD6oRL4QoSqoj5SphShoh+8DfAk

Shortcut.txt

Addition.txt

FRST.txt

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[alex_84]

найден вирус

heur:trojan-ransom.win32.generic

 

логи прикрепил

CollectionLog-2019.02.02-00.07.zip

[regist]

Здравствуйте!

шифратор до сих пор активен.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\41\appdata\roaming\osk.exe');
 TerminateProcessByName('c:\users\41\appdata\roaming\winupmgr.exe');
 QuarantineFile('c:\users\41\appdata\roaming\osk.exe', '');
 QuarantineFile('c:\users\41\appdata\roaming\winupmgr.exe', '');
 DeleteFile('c:\users\41\appdata\roaming\osk.exe', '');
 DeleteFile('C:\Users\41\AppData\Roaming\osk.exe', '32');
 DeleteFile('C:\Users\41\AppData\Roaming\osk.exe', '64');
 DeleteFile('c:\users\41\appdata\roaming\winupmgr.exe', '');
 DeleteFile('C:\Users\41\AppData\Roaming\winupmgr.exe', '32');
 DeleteFile('C:\Users\41\AppData\Roaming\winupmgr.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Update Manager', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Update Manager', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'XmWlZhKKhiz', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'XmWlZhKKhiz', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:

 

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Bing Bar [20180916]-->MsiExec.exe /X{16793295-2366-40F7-A045-A3E42A81365E}
Java 8 Update 31 [20150122]-->MsiExec.exe /I{26A24AE4-039D-4CA4-87B4-2F83218031F0}
Your Software Deals 1.0.0 [20140729]-->"C:\ProgramData\Ashampoo\unins000.exe"

деинсталируйте.

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Изменено 1 февраля, 2019 пользователем regist

[alex_84]

авз на первом скрипте выдаёт ошибку

Ошибка Too many actual parameters в позиции 14:16

Новый лог прилогаю

CollectionLog-2019.02.02-01.03.zip

[alex_84]

Номер KLAN-9541774487Присланные вами файлы были проверены в автоматическом режиме.В следующих файлах обнаружен вредоносный код:osk.exe - HEUR:Trojan-Ransom.Win32.Generic winupmgr.exe - HEUR:Trojan.Win32.Generic

Ссылка на результаты анализаMD5 карантина: 1ED92497002728AED5F5FB9266A0B3B4Размер файла: 39369603 байт

[regist]

 

 

авз на первом скрипте выдаёт ошибку Ошибка Too many actual parameters в позиции 14:16

инструкции надо читать внимательней,

 

Как выполнить скрипт в AVZ?
 
Утилита AVZ находится в папке ..\AutoLogger\AVZ, т.е. там, откуда Вы запускали автоматический сборщик логов.

Но я так понимаю уже разобрались?

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

[alex_84]

Да спасибо прощу прощения ступил, плохо работать на пол компа

Вот дешифратор бы ещё =)

Addition.txt

FRST.txt

[regist]

 

 

Вот дешифратор бы ещё =)

по вопросам дешифрации это сюда. Здесь только от вирусов лечим - у вас был

 

 

шифратор до сих пор активен.

Ace Stream Media 3.0.12 (HKU\S-1-5-21-822517079-2633060756-1307796468-1001\...\AceStream) (Version: 3.0.12 - Ace Stream Media) <==== ATTENTION

деинсталируйте.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-822517079-2633060756-1307796468-1001\Software\Classes\.scr: scrfile =>  <==== ATTENTION
  HKLM-x32\...\Run: [] => [X]
  HKU\S-1-5-21-822517079-2633060756-1307796468-1001\...\MountPoints2: {bb3b01ad-0b19-11e9-83cc-000be0f000ed} - "U:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-822517079-2633060756-1307796468-1001\...\MountPoints2: {bb3b01da-0b19-11e9-83cc-000be0f000ed} - "U:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-822517079-2633060756-1307796468-1001\...\MountPoints2: {bb3b0575-0b19-11e9-83cc-000be0f000ed} - "U:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-822517079-2633060756-1307796468-1001\...\MountPoints2: {e1b1dfa4-8c1b-11e8-83ac-000be0f000ed} - "V:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-822517079-2633060756-1307796468-1001\...\MountPoints2: {ec389426-222b-11e4-8272-000be0f000ed} - "O:\setup.exe"
  FF Extension: (Ace Script) - C:\Users\41\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi [2018-01-24]
  FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2019-02-02] <==== ATTENTION (Points to *.cfg file)
  FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2019-02-02] <==== ATTENTION
  2019-02-01 22:57 - 2019-02-01 22:57 - 000003533 _____ C:\Users\41\Расшифровать файлы и работать дальше.TXT.secure
  2019-02-01 22:57 - 2019-02-01 22:57 - 000003347 _____ C:\Users\41\Расшифровать файлы и работать дальше.TXT
  2019-02-01 10:26 - 2019-02-01 23:04 - 000003347 _____ C:\Users\Public\Расшифровать файлы и работать дальше.TXT
  2019-02-01 10:26 - 2019-02-01 23:04 - 000003347 _____ C:\Users\Public\Downloads\Расшифровать файлы и работать дальше.TXT
  2019-02-01 10:26 - 2019-02-01 23:04 - 000003347 _____ C:\Users\Public\Documents\Расшифровать файлы и работать дальше.TXT
  2019-02-01 10:26 - 2019-02-01 10:26 - 000003533 _____ C:\Users\Public\Расшифровать файлы и работать дальше.TXT.secure
  2019-02-01 10:26 - 2019-02-01 10:26 - 000003533 _____ C:\Users\Public\Downloads\Расшифровать файлы и работать дальше.TXT.secure
  2019-02-01 10:26 - 2019-02-01 10:26 - 000003533 _____ C:\Users\Public\Documents\Расшифровать файлы и работать дальше.TXT.secure
  2019-02-01 10:22 - 2019-02-01 23:04 - 000003533 _____ C:\Users\41\Downloads\Расшифровать файлы и работать дальше.TXT.{8DFACFBC-95FD-95FD-A25F-AFA0C2FDE8A6}
  2019-02-01 10:22 - 2019-02-01 23:04 - 000003347 _____ C:\Users\41\Downloads\Расшифровать файлы и работать дальше.TXT
  2019-02-01 10:22 - 2019-02-01 10:22 - 000003533 _____ C:\Users\41\Downloads\Расшифровать файлы и работать дальше.TXT.{5464E2C4-7B67-79C8-861A-861AE605AA4E}.secure
  2019-02-01 10:22 - 2019-02-01 10:22 - 000003532 _____ C:\Users\41\Downloads\Расшифровать файлы и работать дальше.TXT.secure
  2019-02-01 10:20 - 2019-02-01 23:04 - 000003533 _____ C:\Users\41\Documents\Расшифровать файлы и работать дальше.TXT
  2019-02-01 10:20 - 2019-02-01 10:20 - 000003532 _____ C:\Users\41\Documents\Расшифровать файлы и работать дальше.TXT.secure
  2019-02-01 09:46 - 2019-02-01 22:57 - 000003533 _____ C:\Users\41\Desktop\Расшифровать файлы и работать дальше.TXT.{E4EB4847-FE9D-FCEF-0930-0930E1A4154F}
  2019-02-01 09:46 - 2019-02-01 22:57 - 000003347 _____ C:\Users\Расшифровать файлы и работать дальше.TXT
  2019-02-01 09:46 - 2019-02-01 22:57 - 000003347 _____ C:\Users\41\Desktop\Расшифровать файлы и работать дальше.TXT
  2019-02-01 09:46 - 2019-02-01 09:46 - 000003533 _____ C:\Users\Расшифровать файлы и работать дальше.TXT.secure
  2019-02-01 09:46 - 2019-02-01 09:46 - 000003533 _____ C:\Users\41\Desktop\Расшифровать файлы и работать дальше.TXT.{C6A86D60-EEBB-EEBB-EC0D-F96E61A1FBBE}.secure
  2019-02-01 09:46 - 2019-02-01 09:46 - 000003532 _____ C:\Users\41\Desktop\Расшифровать файлы и работать дальше.TXT.secure
  2019-02-01 09:08 - 2019-02-01 22:52 - 000003533 _____ C:\Program Files (x86)\Расшифровать файлы и работать дальше.TXT
  2019-02-01 09:08 - 2019-02-01 09:08 - 000003532 _____ C:\Program Files (x86)\Расшифровать файлы и работать дальше.TXT.secure
  2019-02-01 08:13 - 2019-02-01 22:48 - 000003533 _____ C:\Program Files\Расшифровать файлы и работать дальше.TXT
  2019-02-01 08:13 - 2019-02-01 08:13 - 000003532 _____ C:\Program Files\Расшифровать файлы и работать дальше.TXT.secure
  2019-02-01 08:11 - 2019-02-01 22:48 - 000003533 _____ C:\Расшифровать файлы и работать дальше.TXT.secure
  2019-02-01 08:11 - 2019-02-01 08:11 - 000003533 _____ C:\Расшифровать файлы и работать дальше.TXT.{8C369C50-A33A-A33A-A19B-BEEC9F81754E}.secure
  2019-02-01 08:13 - 2019-02-01 22:48 - 000003533 _____ () C:\Program Files\Расшифровать файлы и работать дальше.TXT
  2019-02-01 08:13 - 2019-02-01 08:13 - 000003532 _____ () C:\Program Files\Расшифровать файлы и работать дальше.TXT.secure
  2019-02-01 09:08 - 2019-02-01 22:52 - 000003533 _____ () C:\Program Files (x86)\Расшифровать файлы и работать дальше.TXT
  2019-02-01 09:08 - 2019-02-01 09:08 - 000003532 _____ () C:\Program Files (x86)\Расшифровать файлы и работать дальше.TXT.secure
  2019-02-02 13:56 - 2019-02-02 13:56 - 000000600 _____ () C:\Users\41\AppData\Roaming\winscp.rnd
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[alex_84]

Сделано

Fixlog.txt

[regist]

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.