Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

blackdragon43@yahoo.com похоже проник через RDP

Александр Корешков

Автор Александр Корешков
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Александр Корешков

Александр Корешков

Опубликовано
Опубликовано

Сегодня ночью были зашифрованы все файлы на одной из локальных машин. В каждой папке файл README . Содержимое следующее "to decrypt files write here blackdragon43@yahoo.com"

 

1. Проверка Dr. web Cure It дает следующие результаты:

 

- Win32.HLLW.Autoruner2.28285

- Trojan.MulDrop9.6006

 

2. Логи прикладываю во вложении

 

CollectionLog-2019.05.05-10.50.zip

thyrex

thyrex

Опубликовано
Опубликовано

Образцы зашифрованных файлов прикрепите в архиве к следующему сообщению.

 

+ Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

Судя по тому, что зашифрованными оказались и сами файлы с сообщениями от вымогателей, ключей шифрования может быть несколько.

 

Расшифрованные файлы https://www.sendspace.com/file/wrk9bk

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [311434] => 311434
Task: {5B46DE00-9B01-4927-A599-81B824947B76} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\Downloads\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\Documents\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\Desktop\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\AppData\Roaming\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\AppData\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\AppData\Local\Temp\README.txt
2019-05-04 18:15 - 2019-05-04 18:15 - 000003154 _____ C:\Windows\System32\Tasks\VssDataRestore
2019-05-04 18:15 - 2019-05-04 18:15 - 000000007 _____ C:\Users\SUPPORT\AppData\Local\Temp\2493754202
2019-05-04 17:39 - 2019-05-04 17:39 - 000001303 _____ C:\Users\Public\Desktop\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Public\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Public\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Public\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Public\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Program Files (x86)\README.txt
2019-05-04 17:38 - 2019-05-04 17:38 - 000000071 _____ C:\Program Files\README.txt
2019-05-04 17:34 - 2019-05-04 17:34 - 000000071 _____ C:\Program Files\Common Files\README.txt
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\Downloads\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\Documents\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\Desktop\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\AppData\Roaming\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\AppData\LocalLow\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\AppData\Local\Temp\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\AppData\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\Public\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\Public\Downloads\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\Public\Documents\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001303 _____ C:\Users\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:31 - 000001269 _____ C:\Users\Все пользователи\README.txt
2019-05-04 17:31 - 2019-05-04 17:31 - 000001269 _____ C:\ProgramData\README.txt
2019-05-04 17:31 - 2019-05-04 17:31 - 000000072 _____ C:\Users\SUPPORT\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:30 - 2019-05-04 17:31 - 000001269 _____ C:\Users\Все пользователи\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-05-04 17:30 - 2019-05-04 17:31 - 000001269 _____ C:\Users\Public\Documents\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-05-04 17:30 - 2019-05-04 17:31 - 000001269 _____ C:\ProgramData\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-05-04 17:27 - 2019-05-04 17:31 - 000001234 _____ C:\Users\SUPPORT\AppData\Local\Temp\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-.fname-2493754202.doubleoffset
2019-05-04 17:10 - 2019-04-02 17:46 - 000089600 _____ C:\Users\SUPPORT\Documents\drakosha0402.exe
2019-05-04 17:33 - 2019-02-01 23:46 - 000000000 __SHD C:\found.006
2019-05-04 17:33 - 2019-01-30 03:55 - 000000000 __SHD C:\found.005
2019-05-04 17:33 - 2019-01-21 09:48 - 000000000 __SHD C:\found.004
2019-05-04 17:33 - 2018-12-08 19:13 - 000000000 __SHD C:\found.003
2019-05-04 17:33 - 2014-09-11 02:42 - 000000000 __SHD C:\found.001
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Александр Корешков

Александр Корешков

Опубликовано
  • Автор
Опубликовано (изменено)

Не уверен что не накосячил (под временной учеткой был комп) и ушел в перезагрузку и я упустил файл. После второго запуска фикса файл во вложении

Fixlog.txt

Изменено пользователем Александр Корешков
Александр Корешков

Александр Корешков

Опубликовано
  • Автор
Опубликовано

Файлы не офисный похоже другим ключом

Файлы.rar

Александр Корешков

Александр Корешков

Опубликовано
  • Автор
Опубликовано

Пока вторым ключом на 1 млн файлов 100 процентов попадание


ещё вопрос. Дешифратор показывает нерасшированных файлов примерно 10 тыс  из 130 тыс )) найти их не могу. Есть какие то средства?

thyrex

thyrex

Опубликовано
Опубликовано

Они не расшифровываются и первым ключом?

 

Поиск по маске email-blackdragon43@yahoo.com*.* средствами самой системы поможет найти файлы.

thyrex

thyrex

Опубликовано
Опубликовано

Кстати, в дешифраторе после попытки расшифровки нужно смотреть окно Not valide password. Если в нем не нулевое значение, тогда и искать нерасшифровавшиеся файлы.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • anton4ik
      Зашифрованы файлы
      Автор anton4ik
      Вчера, судя по всему подключившись по RDP, скопировали файл и запустили шифровальщик.
      Сегодня утром на рабочем столе был обнаружен запущенный файл vis.exe. Антивирус отключили, поковырялись с учетными записями...
       
      Файлы теперь имеют имена типа email-tatarian@india.com.ver-CL 1.3.1.0.id-@@@@@4684-E4C6.randomname-ZBCDEEFGGHIIIJKKLMNNNOPPQRRRST.UVV.xxy
       
      Есть файл шифровальщика. И вроде как один файл оригинала зашифрованного файла (определил по размеру, ко всем файлам добавилось ~30-32 кб)
      CollectionLog-2016.12.15-15.08.zip

    • Liberte
      Шифровальщик tatarian@india.com.ver-CL 1.3.1.0.id
      Автор Liberte
      Поймал шифровальщика. шифрует документы и базы 1c (1cd) 
      имена файлов примерно такие: email-tatarian@india.com.ver-CL 1.3.1.0.id-RTVYCEGJLNQSUWZBDFIKNORTWYACFHJLOQTU-09.12.2016 23@55@056371906@@@@@168B-F26F.randomname-NPSUYADFIKNORTWYBCFHKLOQTVXZCE.HKL.ppr (расширения файлов разные ) сам вирус отыскать не удалось, похоже, что имели удаленный доступ к ПК и почистили следы за собой. (антивирус endpoint 10)
      Cureit тоже ничего не нашел.
      файл readme содержит:
      ATTENTION! Your computer was attacked by trojan called cryptolocker. All your files are encrypted with cryptographically strong algorithm, and without original decryption key recovery is impossible. To get your unique key and decode your files, you need to write us at email written below during 72 hours,  otherwise your files will be destroyed forever! tatarian@india.com tatarian@india.com   Теневых копий нету.
      Лог прикрепляю, а также файлы зашифрованный и оригинальный.
      Есть ли способ восстановить.
      файлы в архиве files, пароль: files
      files.rar
      CollectionLog-2016.12.13-12.58.zip
      Addition.txt
      FRST.txt
    • яДмитрий
      расшифровка
      Автор яДмитрий
      прошёл год может изменилась ситуация 
      заражение было после открытия письма и на тот момент стоял антивирус аваст 
      прикрепляю логи
      CollectionLog-2016.12.09-22.37.zip
    • Евгений Матвеев
      Шифровальщик
      Автор Евгений Матвеев
      Помогите с расшифровкой данных, готов предоставить дополнительную информацию.
      CollectionLog-2016.12.08-01.25.zip
    • Marshall_J
      Зашифровались данные
      Автор Marshall_J
      Здравствуйте. зашифровались данные. в файликах пишется "to decrypt files write to this mail vpupkin3@aol.com"
       
       
       
      CollectionLog-2016.12.05-16.28.zip

×
×
  • Создать...