Заразился кодировщиком все файлы с расширением mark

[ячфыйц12]

Добрый день.
Сегодня обнаружили на включенной машине что все файлы зашифрованны с расширением mark
Злоумышленники отправили требование о дешифровке
Никакие антивирусы не определили вредоносное ПО
Прошу помочь - не можем работать на кассе
Текст сообщения не прикрепился  - вставляю
 

Сообщение от вымогателей:

 

YOUR PERSONAL ID

A6 35 27 92 2C 97 A0 11 A7 57 60 62 AD EC B8 90
DB F9 A5 26 69 EA E8 68 92 8D 81 DF 2F 14 2F 4F
8A 9F 40 8E F4 0A 11 41 76 8F C3 EE 39 36 B4 DB
98 32 F9 F9 83 E3 31 FE 5B EA 76 E9 B6 20 62 D3
0E 73 F2 DF 53 A0 71 68 62 F5 72 E3 B3 8F 98 F7
82 CC 4F 57 E9 3A 64 C4 59 C7 F8 7A AE 13 5E 4B
3A 7D 1C 00 F2 FF 1A 5D D5 FE 7E 71 BA 4E 5D 40
C4 8B 01 D4 CA 8A 0C 76 06 44 C6 B9 02 A0 F0 E6
E0 1D 60 0F BE 81 EF 66 4E 4A 5E 7B 57 09 9B 8E
C2 E2 06 63 FF A3 44 96 35 25 64 B5 C9 66 85 A4
C7 33 9D 93 3F 79 41 D2 27 70 BB F9 87 A3 5B 6F
C1 52 38 A2 D6 B3 DD E2 C2 D3 56 B7 5B 6E C6 85
F8 DB E8 3B EB 83 DB 8A 8E 43 20 84 64 4B F9 B1
DD 6D 59 E2 7B 26 8D 65 A7 EF 51 47 7A F6 4F 55
11 8A 60 F0 CE 38 99 03 AA 87 42 41 4E FB 7E 2F
3F AE A7 A0 C7 76 9A BF 35 60 EF D0 DB B2 3E 03

 

 

ENGLISH
☠ YOUR FILES ARE ENCRYPTED! ☠ TO DECRYPT, FOLLOW THE INSTRUCTIONS BELOW.
To recover data you need decryptor.
To get the decryptor you should:
Send 1 crypted test image or text file or document to diesel_space@aol.com
(Or alternate mail diesel_space@india.com)
In the letter include your personal ID (look at the beginning of this document) and we will assign price for decryption all files.
After payment you will receive a decryptor and instructions We can decrypt one file in quality the evidence that we have the decoder.
 
MOST IMPORTANT!!!
We are ready to work through intermediaries.

• Only diesel_space proof can decrypt your files.
• Antivirus programs can delete this document and you can not contact us later.
• Attempts to self-decrypting files will result in the loss of your data.
• Decoders other users are not compatible with your data, because each users u

 

Addition.txt

FRST.txt

[thyrex]

Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в данной теме.

[ячфыйц12]

Утром обнаружили на машине что во все файлы добавлено расширение  mark
В каждой папке находится html файл с требованием злоумышленников связаться с ними для дешифровки файлов
На сообщения не отвечают - прошу помочь разобраться с проблемой если кто сталкивался - жизненно необходимо нужна база.

Сообщение от модератора thyrex

Темы объединены

CollectionLog-2019.03.27-18.55.zip

report1.log

report2.log

[thyrex]

Я просто в шоке от неумения (или нежелания) читать внимательно.

Логи прикрепите к следующему сообщению в данной теме.

А вместо этого я должен объединять темы.

 

Пострадали от GlobeImposter 2. Расшифровки нет.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
2019-03-27 10:05 - 2019-03-27 11:47 - 000587808 _____ (Reimage) C:\Users\User\Downloads\ReimageRepair.exe
2019-03-26 21:33 - 2019-03-26 21:33 - 000004976 _____ C:\Program Files\how_to_back_files.html
2019-03-26 21:27 - 2019-03-26 21:27 - 000004976 _____ C:\Program Files (x86)\how_to_back_files.html
2019-03-26 21:24 - 2019-03-26 21:24 - 000004976 _____ C:\Users\Public\how_to_back_files.html
2019-03-26 21:24 - 2019-03-26 21:24 - 000004976 _____ C:\Users\Public\Downloads\how_to_back_files.html
2019-03-26 21:24 - 2019-03-26 21:24 - 000004976 _____ C:\Users\Public\Documents\how_to_back_files.html
2019-03-26 21:24 - 2019-03-26 21:24 - 000004976 _____ C:\Users\Public\Desktop\how_to_back_files.html
2019-03-26 21:24 - 2019-03-26 21:24 - 000004976 _____ C:\Users\MSSQLSERVER\how_to_back_files.html
2019-03-26 21:24 - 2019-03-26 21:24 - 000004976 _____ C:\Users\MSSQL$SQLEXPRESS\how_to_back_files.html
2019-03-26 21:24 - 2019-03-26 21:24 - 000004976 _____ C:\Users\Default\how_to_back_files.html
2019-03-26 21:22 - 2019-03-26 21:22 - 000004976 _____ C:\Users\User\AppData\Roaming\how_to_back_files.html
2019-03-26 21:22 - 2019-03-26 21:22 - 000004976 _____ C:\Users\User\AppData\Local\how_to_back_files.html
2019-03-26 21:17 - 2019-03-26 21:17 - 000000000 ____H C:\Users\User\Documents\Default.rdp
2019-03-26 21:16 - 2019-03-26 21:16 - 000004976 _____ C:\Users\User\Documents\how_to_back_files.html
2019-03-26 21:16 - 2019-03-26 21:16 - 000004976 _____ C:\Users\User\Desktop\how_to_back_files.html
2019-03-26 21:10 - 2019-03-26 21:10 - 000004976 _____ C:\Users\User\Downloads\how_to_back_files.html
2019-03-26 21:07 - 2019-03-26 21:07 - 000004976 _____ C:\Users\User\how_to_back_files.html
2019-03-26 21:06 - 2019-03-26 21:06 - 000004976 _____ C:\Users\Все пользователи\how_to_back_files.html
2019-03-26 21:06 - 2019-03-26 21:06 - 000004976 _____ C:\Users\how_to_back_files.html
2019-03-26 21:06 - 2019-03-26 21:06 - 000004976 _____ C:\ProgramData\how_to_back_files.html
2019-03-26 21:06 - 2019-03-26 21:06 - 000004976 _____ C:\how_to_back_files.html
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[ячфыйц12]

Добрый день.

Всё сделал как просили - файл прикрепляю

Fixlog.txt

Изменено 28 марта, 2019 пользователем thyrex
убрал оверквотинг

[thyrex]

Больше помочь нечем

[ячфыйц12]

Т.е дешифратора пока не придумали????

Как вы относитесь к такой организации  - http://dr-shifro.ru

пишут что готовы раскодировать имеено с моим расширением mask 

[Sandor]

Посредники, которые берут ещё дополнительную плату за свою "работу" - https://safezone.cc/threads/rossijskaja-kompanija-vmesto-lechenija-zashifrovannyx-virusom-fajlov-platit-zloumyshlennikam.32566/