Перейти к содержанию

Рекомендуемые сообщения

Добрый день. Каким-то образом все зашифровалось. В каждой папке файл README . Содержимое следующее "to decrypt files write here blackdragon43@yahoo.com"

 

1 DrWeb Cureit нешел только это:

C:\Windows\system32\drivers\etc\hosts - cured
C:\Program Files\ScreenCapture\ScreenCapture.exe - deleted, reboot required

2 Логи во вложении

Desktop.rar

Изменено пользователем Sgen

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добрый день. Каким-то образом все зашифровалось. В каждой папке файл README . Содержимое следующее "to decrypt files write here blackdragon43@yahoo.com"

 

1 DrWeb Cureit нешел только это:

C:\Windows\system32\drivers\etc\hosts - cured

C:\Program Files\ScreenCapture\ScreenCapture.exe - deleted, reboot required

2 Логи во вложении

CollectionLog-2019.05.05-20.36.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Образцы зашифрованных файлов прикрепите в архиве к следующему сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM\...\Run: [1738518] => 1738518
CHR HKU\S-1-5-21-3253336384-174569118-3765173492-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {03966D03-C1D4-403A-B016-78A283946302} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
Task: {0C33E673-A47B-4125-A54B-DD3A4E8D4BE0} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {74153C01-2F0A-4BCE-9A5A-54A54569C869} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
FF ProfilePath: C:\Users\Boss\AppData\Roaming\Mozilla\Firefox\Profiles\ypau2qjb.default-1426135602613-1538973365996 [not found] <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Services\4583B4DD2F408119 <==== ATTENTION (Rootkit!)
"BC83850CF02" => service could not be unlocked. <==== ATTENTION
2019-05-05 17:20 - 2019-05-05 17:20 - 000102320 _____ C:\Windows\system32\Drivers\BC83850CF02.sys
2019-05-02 12:42 - 2019-05-02 12:42 - 000001303 _____ C:\Users\Boss\Desktop\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-1154939879-243384313061441936890407.fname-README.txt.doubleoffset
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Public\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Public\Downloads\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Default\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Default\Downloads\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Default\Documents\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Default\Desktop\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Default\AppData\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Default User\Downloads\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Default User\Documents\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Default User\Desktop\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Default User\AppData\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Boss\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Boss\Downloads\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Boss\Documents\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Boss\Desktop\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-02 12:42 - 2019-05-02 12:42 - 000000071 _____ C:\README.txt
2019-05-02 12:40 - 2019-05-02 12:40 - 000000071 _____ C:\Users\Boss\AppData\Roaming\README.txt
2019-05-02 12:40 - 2019-05-02 12:40 - 000000071 _____ C:\Users\Boss\AppData\README.txt
2019-05-02 12:39 - 2019-05-02 12:39 - 000000071 _____ C:\Users\Boss\AppData\LocalLow\README.txt
2019-05-02 12:31 - 2019-05-02 12:31 - 000000071 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-05-02 12:30 - 2019-05-02 12:42 - 000001303 _____ C:\Users\Public\Documents\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-1154939879-243384313061441936890407.fname-README.txt.doubleoffset
2019-05-02 12:30 - 2019-05-02 12:42 - 000001303 _____ C:\Users\Public\Desktop\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-1154939879-243384313061441936890407.fname-README.txt.doubleoffset
2019-05-02 12:30 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Public\Documents\README.txt
2019-05-02 12:30 - 2019-05-02 12:42 - 000000071 _____ C:\Users\Public\Desktop\README.txt
2019-05-02 12:30 - 2019-05-02 12:34 - 000001303 _____ C:\Users\Все пользователи\README.txt
2019-05-02 12:30 - 2019-05-02 12:34 - 000001303 _____ C:\ProgramData\README.txt
2019-05-02 12:30 - 2019-05-02 12:31 - 000001303 _____ C:\Users\Все пользователи\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-1154939879-243384313061441936890407.fname-README.txt.doubleoffset
2019-05-02 12:30 - 2019-05-02 12:31 - 000001303 _____ C:\ProgramData\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-1154939879-243384313061441936890407.fname-README.txt.doubleoffset
2019-05-02 12:30 - 2019-05-02 12:30 - 000000071 _____ C:\Program Files\README.txt
2019-05-02 12:27 - 2019-05-02 12:27 - 000000071 _____ C:\Program Files\Common Files\README.txt
2019-05-02 12:23 - 2019-05-02 12:42 - 000001303 _____ C:\Users\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-1154939879-243384313061441936890407.fname-README.txt.doubleoffset
2019-05-02 12:23 - 2019-05-02 12:42 - 000000071 _____ C:\Users\README.txt
2019-05-02 12:06 - 2019-05-02 12:42 - 000038997 _____ C:\Users\Boss\Downloads\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-1154939879-243384313061441936890407.fname-drakosha0402.rar.doubleoffset
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Лог после перезагрузки

Fixlog.txt

Изменено пользователем Sgen

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добрый день!

 

у меня очень похожая проблема, прошу прощения что на данный момент не оформляю запрос, хотелось бы узнать есть ли не большой шанс расшифровать информацию? 

заразились ночью 3 мая 2019

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@bom81, в любом случае без образцов зашифрованных файлов сказать что-то невозможно. А свою тему создать Вам все-таки придется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Проверьте ЛС

Громаднейшее спасибо!!! Почти все восстановилось

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что значит почти всё? Если остались нерасшифровавшиеся файлы, возможно, они зашифрованы другим ключом. Я писал Вам об этом в инструкции.

Тогда такие файлы нужно прислать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что значит почти всё? Если остались нерасшифровавшиеся файлы, возможно, они зашифрованы другим ключом. Я писал Вам об этом в инструкции.

Тогда такие файлы нужно прислать.

Вот пара нерасшифрованных

Новая папка (3).rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Файлы просто переименованы. Один pdf, второй docx

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

  • Похожий контент

    • От Edik
      Зашифрованы файлы. Видимо компьютер должен был перезагрузиться, но не перезагрузился. Поэтому были обнаружены:
       
      1 - Антивирус (Kaspersky Free) был неактивен. Значки были серенькими, он не запущен в трее.
      2 - На рабочем столе незавершенное окно командной строки как результат работы утилиты "local.com"
       
      Пока компьютер не перезагружался, с неактивным антивирусом было выполнено полное сканирование утилитой Cure.IT Drweb. Она обнаружила файл "1с_1.com" как "trojan encoder 3953"
      После перезагрузки антивирус (Kaspersky Free) обнаружил и уничтожил вредоносные файлы, шифровальщик "1с_1" и какую то служебную утилиту "local.com".
       
      В соотствии с рекомендациями сформирован лог файл и приложен к сообщению.
       
      зашифрованные файлы имеют вид: "Kaspersky Passwords.lnk.id-445F014D.[imdecrypt@aol.com].IMI"
    • От Coding
      email-3nity@tuta.io.ver-CL
       
      Зашифровало всі файли email-3nity@tuta.io.ver-CL, пароль підбирали брутом, лишились сліди від підбору в логах, зашифрувало все окрім робочого столу
       
      Зашифровало все файлы email-3nity@tuta.io.ver-CL, пароль подбирали Брутом, остались следы от подбора в логах, зашифровали все файлы кроме рабочего стола
       
    • От asbrenet
      На ПК с Windows 8.1  были зашифрованы файлы, в основном в папках пользователя. Каким способом зашел троян-шифровальщик не понятно.
      Установлено антивирусное ПО Panda Antivirus Prof. В сети есть другие компьютеры, на которых троян не обнаружен. Они тоже все защищены антивирусными программами.
      Данный компьютер был проверен утилитами Anti-Ransomware от Kaseprsky и Trend Micro - ничего не было обнаружено.
      Помогите пожалуйста  с определением трояна и дешифровкой файлов. Спасибо!
        CollectionLog-2018.10.25-16.03.zip
    • От forent
      Здравствуйте,
      Сегодня ночью поймал вирус Trojan-Ransom.Win32.Cryptor.bsd (на Windows 7). Название определил при проверке вирусного файла на www.virustotal.com (Kaspersky). [/size]Заражение скорее всего произошло по RDP.
      Вирус создал в каждой папке на всех дисках файл !!!RESTORE_FILES!!!.txt (прикрепил). И начал шифровать...
      Я в это время работал по удаленному подключению, заметил торможение, запустил диспетчер задач в котором обнаружил fgggj.exe (прикрепил архив с вирусом, сохранил оригинальное название архива endddddd546666.zip). Я завершил этот процесс, затем в папке "Загрузки" обнаружил архив с вирусом. Повезло. Вирус проработал около получаса. Потерял только 3 папки с важными файлами (были зашифрованы). Шифрует добавляя в конец имени файла "CONTACTUS" (один из зашифрованных файлов прикрепил file_xls.zip).
      Прошу помочь в расшифровке, если это еще возможно.
      !!!RESTORE_FILES!!!.txt
      file_xls.zip
    • От zhekkka
      Добрый день ! Подскажите пожалуйста что делать, как выйти из ситуации ? На компьютере чёрный экран и надпись " Внимание все ваши файлы на всех ваших дисках были зашифрованы"  и все файлы зашифрованы ! Что делать ? ? ?


      Вашu фaйлы былu зашuфpованы. Чmoбы рaсшифровaть их, Вaм неoбходuмо omправumь koд: 4F9ADE6A6200BEED2187|0 на элеkmpонный адреc Novikov.Vavila@gmail.com . Далеe вы полyчume вce нeoбходuмыe uнстрykцuи. Пonыткu рacшuфpoвать самосmoятeльнo не привeдym нu к чемy, кромe бeзвoзвраmной пoтеpu инфopмацuи. Eсли вы вcё жe xoтите nоnыmатьcя, mo предваpuтeльно cдeлaйmе резеpвные копии фaйлов, инaчe в cлучае иx uзмeненuя pасшифpoвka cmaнеm нeвoзмoжнoй нu прu кaкuх условияx. Eслu вы не nолучuлu отвеma пo вышеукaзaнномy адресу в mечение 48 чаcoв (и тoльkо в эmoм слyчaе!), вoспользyйтеcь фоpмoй обpатной связu. Этo можнo сдeлать двумя cnoсoбaмu: 1) Скaчaйтe u усmaнoвuтe Tor Browser no ccылкe: https://www.torproject.org/download/download-easy.html.en B aдpесной стpокe Tor Browser-a введuтe адреc: http://cryptsen7fo43rr6.onion/ u нажмume Enter. 3aгpузumся сmpaнuцa c формoй обратной cвязи. 2) B любом бpаузере nepeйдите по одному uз aдреcов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 4F9ADE6A6200BEED2187|0 to e-mail address Novikov.Vavila@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. If you still want to try to decrypt them by yourself please make a backup at first because the decryption will become impossible in case of any changes inside the files. If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!), use the feedback form. You can do it by two ways: 1) Download Tor Browser from here: https://www.torproject.org/download/download-easy.html.en Install it and type the following address into the address bar: http://cryptsen7fo43rr6.onion/ Press Enter and then the page with feedback form will be loaded. 2) Go to the one of the following addresses in any browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ README1.txt
×
×
  • Создать...