Перейти к содержанию

Заразился кодировщиком все файлы с расширением mark

ячфыйц12
 Share

Рекомендуемые сообщения

ячфыйц12 Новичок

ячфыйц12

Опубликовано
Опубликовано

Добрый день.
Сегодня обнаружили на включенной машине что все файлы зашифрованны с расширением mark
Злоумышленники отправили требование о дешифровке
Никакие антивирусы не определили вредоносное ПО
Прошу помочь - не можем работать на кассе
Текст сообщения не прикрепился  - вставляю
 

Сообщение от вымогателей:

 

YOUR PERSONAL ID


A6 35 27 92 2C 97 A0 11 A7 57 60 62 AD EC B8 90
DB F9 A5 26 69 EA E8 68 92 8D 81 DF 2F 14 2F 4F
8A 9F 40 8E F4 0A 11 41 76 8F C3 EE 39 36 B4 DB
98 32 F9 F9 83 E3 31 FE 5B EA 76 E9 B6 20 62 D3
0E 73 F2 DF 53 A0 71 68 62 F5 72 E3 B3 8F 98 F7
82 CC 4F 57 E9 3A 64 C4 59 C7 F8 7A AE 13 5E 4B
3A 7D 1C 00 F2 FF 1A 5D D5 FE 7E 71 BA 4E 5D 40
C4 8B 01 D4 CA 8A 0C 76 06 44 C6 B9 02 A0 F0 E6
E0 1D 60 0F BE 81 EF 66 4E 4A 5E 7B 57 09 9B 8E
C2 E2 06 63 FF A3 44 96 35 25 64 B5 C9 66 85 A4
C7 33 9D 93 3F 79 41 D2 27 70 BB F9 87 A3 5B 6F
C1 52 38 A2 D6 B3 DD E2 C2 D3 56 B7 5B 6E C6 85
F8 DB E8 3B EB 83 DB 8A 8E 43 20 84 64 4B F9 B1
DD 6D 59 E2 7B 26 8D 65 A7 EF 51 47 7A F6 4F 55
11 8A 60 F0 CE 38 99 03 AA 87 42 41 4E FB 7E 2F
3F AE A7 A0 C7 76 9A BF 35 60 EF D0 DB B2 3E 03

 


 

ENGLISH
☠ YOUR FILES ARE ENCRYPTED! ☠ TO DECRYPT, FOLLOW THE INSTRUCTIONS BELOW.
To recover data you need decryptor.
To get the decryptor you should:
Send 1 crypted test image or text file or document to diesel_space@aol.com
(Or alternate mail diesel_space@india.com)
In the letter include your personal ID (look at the beginning of this document) and we will assign price for decryption all files.
After payment you will receive a decryptor and instructions We can decrypt one file in quality the evidence that we have the decoder.
 
MOST IMPORTANT!!!
We are ready to work through intermediaries.

  • Only diesel_space proof can decrypt your files.
  • Antivirus programs can delete this document and you can not contact us later.
  • Attempts to self-decrypting files will result in the loss of your data.
  • Decoders other users are not compatible with your data, because each users u

 

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
ячфыйц12 Новичок

ячфыйц12

Опубликовано
  • Автор
Опубликовано

Утром обнаружили на машине что во все файлы добавлено расширение  mark
В каждой папке находится html файл с требованием злоумышленников связаться с ними для дешифровки файлов
На сообщения не отвечают - прошу помочь разобраться с проблемой если кто сталкивался - жизненно необходимо нужна база.

Сообщение от модератора thyrex
Темы объединены

CollectionLog-2019.03.27-18.55.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Я просто в шоке от неумения (или нежелания) читать внимательно.

Логи прикрепите к следующему сообщению в данной теме.

А вместо этого я должен объединять темы.

 

Пострадали от GlobeImposter 2. Расшифровки нет.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
2019-03-27 10:05 - 2019-03-27 11:47 - 000587808 _____ (Reimage) C:\Users\User\Downloads\ReimageRepair.exe
2019-03-26 21:33 - 2019-03-26 21:33 - 000004976 _____ C:\Program Files\how_to_back_files.html
2019-03-26 21:27 - 2019-03-26 21:27 - 000004976 _____ C:\Program Files (x86)\how_to_back_files.html
2019-03-26 21:24 - 2019-03-26 21:24 - 000004976 _____ C:\Users\Public\how_to_back_files.html
2019-03-26 21:24 - 2019-03-26 21:24 - 000004976 _____ C:\Users\Public\Downloads\how_to_back_files.html
2019-03-26 21:24 - 2019-03-26 21:24 - 000004976 _____ C:\Users\Public\Documents\how_to_back_files.html
2019-03-26 21:24 - 2019-03-26 21:24 - 000004976 _____ C:\Users\Public\Desktop\how_to_back_files.html
2019-03-26 21:24 - 2019-03-26 21:24 - 000004976 _____ C:\Users\MSSQLSERVER\how_to_back_files.html
2019-03-26 21:24 - 2019-03-26 21:24 - 000004976 _____ C:\Users\MSSQL$SQLEXPRESS\how_to_back_files.html
2019-03-26 21:24 - 2019-03-26 21:24 - 000004976 _____ C:\Users\Default\how_to_back_files.html
2019-03-26 21:22 - 2019-03-26 21:22 - 000004976 _____ C:\Users\User\AppData\Roaming\how_to_back_files.html
2019-03-26 21:22 - 2019-03-26 21:22 - 000004976 _____ C:\Users\User\AppData\Local\how_to_back_files.html
2019-03-26 21:17 - 2019-03-26 21:17 - 000000000 ____H C:\Users\User\Documents\Default.rdp
2019-03-26 21:16 - 2019-03-26 21:16 - 000004976 _____ C:\Users\User\Documents\how_to_back_files.html
2019-03-26 21:16 - 2019-03-26 21:16 - 000004976 _____ C:\Users\User\Desktop\how_to_back_files.html
2019-03-26 21:10 - 2019-03-26 21:10 - 000004976 _____ C:\Users\User\Downloads\how_to_back_files.html
2019-03-26 21:07 - 2019-03-26 21:07 - 000004976 _____ C:\Users\User\how_to_back_files.html
2019-03-26 21:06 - 2019-03-26 21:06 - 000004976 _____ C:\Users\Все пользователи\how_to_back_files.html
2019-03-26 21:06 - 2019-03-26 21:06 - 000004976 _____ C:\Users\how_to_back_files.html
2019-03-26 21:06 - 2019-03-26 21:06 - 000004976 _____ C:\ProgramData\how_to_back_files.html
2019-03-26 21:06 - 2019-03-26 21:06 - 000004976 _____ C:\how_to_back_files.html
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
ячфыйц12 Новичок

ячфыйц12

Опубликовано
  • Автор
Опубликовано (изменено)

Добрый день.

Всё сделал как просили - файл прикрепляю

Fixlog.txt

Изменено пользователем thyrex
убрал оверквотинг
Ссылка на комментарий
Поделиться на другие сайты
ячфыйц12 Новичок

ячфыйц12

Опубликовано
  • Автор
Опубликовано

Т.е дешифратора пока не придумали????

Как вы относитесь к такой организации  - http://dr-shifro.ru

пишут что готовы раскодировать имеено с моим расширением mask 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Посредники, которые берут ещё дополнительную плату за свою "работу" - https://safezone.cc/threads/rossijskaja-kompanija-vmesto-lechenija-zashifrovannyx-virusom-fajlov-platit-zloumyshlennikam.32566/

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • Samoxval
      Поймали шифровальшика файлы с расширением .nigra
      От Samoxval
      Поймали шифровальщик. Расширение .nigra
      Скорее всего по рдп, сам вирус не нашли.
      Установили новый диск и на него накатили чистую виндовс, старые 2 диска осталис подключены как второстепенные, систему на них не трогали.
      Если есть возможность нам спасти файлы (несколько из них приложил) за месяц. Тоесть это файлы кассовой смены 1 файл= 1 кассовая смена. Более нам ничего не требуется с этих дисков. Либо база sql там эти все смены хранятся.
      Зашифрованые файлы.rar
      Первоначальное расширение файлов .udb
       
    • 4ikotillo
      Зашифрованы файлы на сетевом диске, расширение 4utjb34h
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • Saul
      Шифровальщик. Расширение aiLuw2ie
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
    • Freeman80S
      Поймал вирус-шифровальщик, переименовал все расширения файлов на *.Sauron
      От Freeman80S
      Пока катался по городу, сотрудница умудрилась поймать вирус, после этого слились данные "подключение к удаленному рабочему столу", я так понял далее тело из-за бугра залезо на сервер и переименовал все расширения файлов на окончание *.Sauron.
      Запустил все известные анти-вирусы, как итог ничего не находят. В файле требований два адреса: почта adm.helproot@gmail.com, телеграмм канал @adm_helproot, и предложение обменять деньги на биткоины и связаться с этими телами! Во вложении оценка системы и зашифрованные файлы. Буду благодарен! (пароль от архива virus)
      FRST.txt шифр файлы и требование.rar
×
×
  • Создать...