Перейти к содержанию

blackdragon43@yahoo.com похоже проник через RDP

Александр Корешков

От Александр Корешков
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Александр Корешков Новичок

Александр Корешков

Опубликовано
Опубликовано

Сегодня ночью были зашифрованы все файлы на одной из локальных машин. В каждой папке файл README . Содержимое следующее "to decrypt files write here blackdragon43@yahoo.com"

 

1. Проверка Dr. web Cure It дает следующие результаты:

 

- Win32.HLLW.Autoruner2.28285

- Trojan.MulDrop9.6006

 

2. Логи прикладываю во вложении

 

CollectionLog-2019.05.05-10.50.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Образцы зашифрованных файлов прикрепите в архиве к следующему сообщению.

 

+ Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Судя по тому, что зашифрованными оказались и сами файлы с сообщениями от вымогателей, ключей шифрования может быть несколько.

 

Расшифрованные файлы https://www.sendspace.com/file/wrk9bk

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [311434] => 311434
Task: {5B46DE00-9B01-4927-A599-81B824947B76} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\Downloads\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\Documents\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\Desktop\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\AppData\Roaming\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\AppData\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\AppData\Local\Temp\README.txt
2019-05-04 18:15 - 2019-05-04 18:15 - 000003154 _____ C:\Windows\System32\Tasks\VssDataRestore
2019-05-04 18:15 - 2019-05-04 18:15 - 000000007 _____ C:\Users\SUPPORT\AppData\Local\Temp\2493754202
2019-05-04 17:39 - 2019-05-04 17:39 - 000001303 _____ C:\Users\Public\Desktop\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Public\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Public\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Public\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Public\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Program Files (x86)\README.txt
2019-05-04 17:38 - 2019-05-04 17:38 - 000000071 _____ C:\Program Files\README.txt
2019-05-04 17:34 - 2019-05-04 17:34 - 000000071 _____ C:\Program Files\Common Files\README.txt
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\Downloads\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\Documents\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\Desktop\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\AppData\Roaming\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\AppData\LocalLow\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\AppData\Local\Temp\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\AppData\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\Public\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\Public\Downloads\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\Public\Documents\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001303 _____ C:\Users\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:31 - 000001269 _____ C:\Users\Все пользователи\README.txt
2019-05-04 17:31 - 2019-05-04 17:31 - 000001269 _____ C:\ProgramData\README.txt
2019-05-04 17:31 - 2019-05-04 17:31 - 000000072 _____ C:\Users\SUPPORT\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:30 - 2019-05-04 17:31 - 000001269 _____ C:\Users\Все пользователи\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-05-04 17:30 - 2019-05-04 17:31 - 000001269 _____ C:\Users\Public\Documents\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-05-04 17:30 - 2019-05-04 17:31 - 000001269 _____ C:\ProgramData\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-05-04 17:27 - 2019-05-04 17:31 - 000001234 _____ C:\Users\SUPPORT\AppData\Local\Temp\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-.fname-2493754202.doubleoffset
2019-05-04 17:10 - 2019-04-02 17:46 - 000089600 _____ C:\Users\SUPPORT\Documents\drakosha0402.exe
2019-05-04 17:33 - 2019-02-01 23:46 - 000000000 __SHD C:\found.006
2019-05-04 17:33 - 2019-01-30 03:55 - 000000000 __SHD C:\found.005
2019-05-04 17:33 - 2019-01-21 09:48 - 000000000 __SHD C:\found.004
2019-05-04 17:33 - 2018-12-08 19:13 - 000000000 __SHD C:\found.003
2019-05-04 17:33 - 2014-09-11 02:42 - 000000000 __SHD C:\found.001
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Ссылка на комментарий
Поделиться на другие сайты
Александр Корешков Новичок

Александр Корешков

Опубликовано
  • Автор
Опубликовано (изменено)

Не уверен что не накосячил (под временной учеткой был комп) и ушел в перезагрузку и я упустил файл. После второго запуска фикса файл во вложении

Fixlog.txt

Изменено пользователем Александр Корешков
Ссылка на комментарий
Поделиться на другие сайты
Александр Корешков Новичок

Александр Корешков

Опубликовано
  • Автор
Опубликовано

Пока вторым ключом на 1 млн файлов 100 процентов попадание


ещё вопрос. Дешифратор показывает нерасшированных файлов примерно 10 тыс  из 130 тыс )) найти их не могу. Есть какие то средства?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Они не расшифровываются и первым ключом?

 

Поиск по маске email-blackdragon43@yahoo.com*.* средствами самой системы поможет найти файлы.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Кстати, в дешифраторе после попытки расшифровки нужно смотреть окно Not valide password. Если в нем не нулевое значение, тогда и искать нерасшифровавшиеся файлы.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • xx3l
      Очередной .ooo4ps по ходу через RCE/RDP
      От xx3l
      Есть шансы порасшифровать?
       
      1. Явно подключались по RDP в процессе
      2. Почистили журналы Windows
      3. Что нехарактерно - часть файлов по маске .txt не зашифровали
      4. Ключ явно зависит от имени файла, но не от пути (есть 2 идентичных файла, в разных папках, с одинаковым шифртекстом)
      5. Явное шифрование блочным шифром.
      Encoded Samples.zip FRST.zip message.zip
    • seregalazerniy
      Выбивает пользователей, которые работают в 1С через RDP
      От seregalazerniy
      Есть ряд пользователей которые работают в 1С через RDP, на Win 10. Их периодически "выбивает" из сессии и происходит переподключение к серверу, бывает что на дню по 15 раз, а бывает и ни разу, в чем может быть причина?
      В логах пусто
      На данный момент порыскав по просторам интернета набрел на отключение в сервере автотюнинга
      netsh interface tcp set global autotuninglevel=disabled
      Не помогло
      Все компы подключены по локальной сети, и подключение происходит по ней. Впн не используем.
    • Шевченко Максим
      Хапнули шифровальщика похоже через RDP, остался файл в корне диска *.hta
      От Шевченко Максим
      Сработал ночью в 5.50, на сервере стоял блок на пользователя при 3х попытках ввода пароля и блокировок по политике не было, но вирус затер все журналы винды до момента его отработки поэтому точно не могу сказать, остался *.hta файл может чем то поможет, но понимаю  чт Addition.txtо врятли. Стоял КЕС 12 эта бяка его снесла.
      FRST.txt Вирус.zip
    • AntonZinch
      Зашифровали файлы, доступ через RDP, расширение .kasper
      От AntonZinch
      Собственно зашифровали файлы :( Сначала винда ругалась на бесконечную блокировку учетки по РДП, затем случилось это.
      Вымогатели просят 0.3 биткоина, машинка обычная домашняя. Вирусы удалил

       
      подскажите, без приватного ключа не расшифровать? 
       
      Информации в интернете по поводу .kasper не нашел совсем. Размер файлов не меняется, на всякий случай так же прикладываю оригинал файла
      111222.vDoc.EMAIL=[kasperskyrans@gmail.com]ID=[BACCC62C15243EF0].kasper.zip 111222.vDoc.zip
    • Владимир В. А.
      Взлом по RDP и шифровка файлов
      От Владимир В. А.
      Добрый день!
       
      Windows 7 Pro x64
      Прошу помочь, с очисткой компа от вируса и дешифровкой файлов. Зашел по RDP, подобрал пароль к учетке и через неё зашел на три компа, пошифровал много чего (в том числе загрузочные записи испортил).
      В дальнейшем предполагаю переставить систему.
       
      Addition.txt files.zip FRST.txt
×
×
  • Создать...