Перейти к содержанию

[РЕШЕНО] veracrypt@foxmail.com зашифровал все диски и просит денег за расшифровку

vvf.nn
 Поделиться

Рекомендуемые сообщения

vvf.nn

vvf.nn

Опубликовано
Опубликовано

Здравствуйте!

Вчера по почте получил файл с расширением pdf, ничего другого не открывал. Компьютер не выключался. Сегодня заставка mouse lokker с просьбой нажать enter. Вышел из пользователя с помощью Ctrl-Alt-Del. Зашел под другим пользователем. Файлы оказались еще живыми. Поставил копирование на внешний диск. Не следил, компьютер выключился. После включения файлы на всех дисках оказались зашифрованы. В приложении файлы из подозреваемого письма, логи. Что можно сделать для расшифровки файлов?

Переписка с владельцами шифровальщика идет с адреса veracrypt@foxmail.com, затем с  veradecrypt@gmail.com

CollectionLog-2019.06.04-22.19.zip

Attachments_m.dymza@maygk.ru_2019-06-03_17-53-33.zip

mike 1

mike 1

Опубликовано
Опубликовано (изменено)
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

RDP Wrapper сами себе ставили? Смените пароль от RDP. 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 TerminateProcessByName('c:\users\p2\appdata\local\packages\microsoft.microsoftedge_8wekyb3d8bbwe\tempstate\downloads\installpack_winrar_19a88 (1).exe');

 TerminateProcessByName('c:\users\p2\appdata\local\temp\ip\installpack.exe');

 QuarantineFile('c:\users\p2\appdata\local\temp\ip\installpack.exe','');

 DeleteFile('c:\users\p2\appdata\local\temp\ip\installpack.exe','32');

 DeleteFile('C:\Users\P2\AppData\Roaming\Info.hta','32');

 RegKeyParamDel('HKEY_USERS','S-1-5-21-603544908-785802418-3046487391-1004\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\P2\AppData\Roaming\Info.hta','x32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\WINDOWS\System32\Info.hta','x64');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\vvf\AppData\Roaming\Info.hta','x64');

 DeleteFile('C:\WINDOWS\System32\Info.hta','64');

 DeleteFile('C:\Users\vvf\AppData\Roaming\Info.hta','64');

 RegKeyParamDel('HKEY_USERS','S-1-5-21-603544908-785802418-3046487391-1004\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\P2\AppData\Roaming\Info.hta','x64');

 DeleteFile('C:\Users\P2\AppData\Roaming\Info.hta','64');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

 

Сделайте новые логи Автологгером. 
Изменено пользователем mike 1
vvf.nn

vvf.nn

Опубликовано
  • Автор
Опубликовано

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
RDP Wrapper сами себе ставили? Смените пароль от RDP. 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 TerminateProcessByName('c:\users\p2\appdata\local\packages\microsoft.microsoftedge_8wekyb3d8bbwe\tempstate\downloads\installpack_winrar_19a88 (1).exe');
 TerminateProcessByName('c:\users\p2\appdata\local\temp\ip\installpack.exe');
 QuarantineFile('c:\users\p2\appdata\local\temp\ip\installpack.exe','');
 DeleteFile('c:\users\p2\appdata\local\temp\ip\installpack.exe','32');
 DeleteFile('C:\Users\P2\AppData\Roaming\Info.hta','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-603544908-785802418-3046487391-1004\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\P2\AppData\Roaming\Info.hta','x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\WINDOWS\System32\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\vvf\AppData\Roaming\Info.hta','x64');
 DeleteFile('C:\WINDOWS\System32\Info.hta','64');
 DeleteFile('C:\Users\vvf\AppData\Roaming\Info.hta','64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-603544908-785802418-3046487391-1004\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\P2\AppData\Roaming\Info.hta','x64');
 DeleteFile('C:\Users\P2\AppData\Roaming\Info.hta','64');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"
 
 
Сделайте новые логи Автологгером. 

 

Есть проблема. Яндекс заблокировал доставку 

<mike1@avp.su>: host ASPMX.L.GOOGLE.COM[173.194.73.27] said: 552-5.7.0 This

    message was blocked because its content presents a potential 552-5.7.0

    security issue. Please visit 552-5.7.0

    https://support.google.com/mail/?p=BlockedMessage to review our 552 5.7.0

    message content and attachment content guidelines. w13si14696948lfq.105 -

    gsmtp (in reply to end of DATA command)

как не меняю текст письма и ставлю карантин в кавычки, яндекс блокирует, как рассылку спама

Это письмо отправлено почтовым сервером yandex.ru.

 

К сожалению, мы вынуждены сообщить Вам о том, что Ваше письмо не может

быть отправлено одному или нескольким адресатам. Технические подробности можно найти ниже.

 

Возможные причины недоставки указаны по адресу:

https://yandex.ru/support/mail-new/wizard/zout_send/not-got-report-yes-other.html

mike 1

mike 1

Опубликовано
Опубликовано

Цитировать целиком мое сообщение не нужно. Выполняйте остальное. + Жду ответ на вопрос.

mike 1

mike 1

Опубликовано
Опубликовано

Логи на форум грузите. На вопрос ответите?

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

PDF-ка чистая. А вот пароль от RDP ломанули.

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Изменено пользователем mike 1
mike 1

mike 1

Опубликовано
Опубликовано
Частично информацию возможно получится восстановить из теневых копий с помощью ShadowExplorer. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!


  • Временно выгрузите антивирус, файрволл и прочее защитное ПО


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CloseProcesses:

HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13928 2019-06-04] () [File not signed]

HKLM\...\Run: [C:\Users\vvf\AppData\Roaming\Info.hta] => C:\Users\vvf\AppData\Roaming\Info.hta [13928 2019-06-04] () [File not signed]

HKU\S-1-5-21-603544908-785802418-3046487391-1001\...\MountPoints2: {df6f7237-9a81-11e8-89cd-806e6f6e6963} - "F:\.\bin\autoins1.exe" ".\bin\SetupRT.exe /q:1" ".\bin\AMovie.exe /q:1" !".\rc.RMT"

HKLM\Software\...\AppCompatFlags\Custom\Chk4Upd.exe: [{7da8c23e-6d60-4dad-aad2-f9c16443dd8c}.sdb] -> Chk4Upd

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-06-04] () [File not signed]

Startup: C:\Users\P2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-06-04] () [File not signed]

Startup: C:\Users\vvf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-06-04] () [File not signed]

virustotal: C:\Users\vvf\Desktop\lock.exe

2019-06-04 09:49 - 2017-08-13 19:32 - 001424896 _____ (Misc314) C:\Users\vvf\Desktop\lock.exe



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

mike 1

mike 1

Опубликовано
Опубликовано

Коммерческая лицензия на наш антивирус имеется?

vvf.nn

vvf.nn

Опубликовано
  • Автор
Опубликовано

Нет, но собираюсь купить.

Windows все равно переставлять.

vvf.nn

vvf.nn

Опубликовано
  • Автор
Опубликовано (изменено)

Понятно, надо купить антивирус и отправить запрос. А что думаете про этих ребят
hxxp://dr-shifro.ru/about.html

 

 

Сообщение от модератора
Убрана активная ссылка на сайт посредников
Изменено пользователем mike 1
Убрал активную ссылку
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • guvnii
      Зашифрованы все разделы компьютера
      Автор guvnii
      Здравствуйте!
      У меня зашифрованы все разделы компьютера, то есть ни одна программа не видит там разделы NTFS, кроме 100 МБ стартового раздела, там оставлен текстовый файл, с почтой и номером кошелька. Подозреваю, что зашифровали программой VeraCrypt, потому что компьютер из того же пула, но там удалось вовремя спасти бэкапы.
      Вопрос, как запустить autologger?
      HIRENS BOOT CD подойдет
    • Борис 516070
      Нужна помощь в расшифровке файлов
      Автор Борис 516070
      Добрый вечер!
      У нас произошел достаточно странный случай. Программа упаковала файлы в RAR архивы, рядом с ним в корне диска лежит файл Readme, в нем написано перевести деньги на кошелек, который Яндекс знает, как только начинаешь вводить первые несколько символов, то есть уже кто-то обращался туда с этим запросом, так же есть еще его почтовый ящик. Опознать тип шифровальщика не получается пока. архивы очень большие, по 5-10 гигабайт, причем он так упаковывает только документы, плюс сносит таблицу MFT, её просто на диске нет, а файлы есть.
      Я прикладываю Вам файл прочти меня и еще файл с ключом, как я понимаю, но я ему изменил расширение на txt, он в оригинале был без него, но внутри простой текст.
      Так же обнаружена программа Vera_Crypt 1.24 ранее никогда не применявшаяся. Пароль админа был достаточно стойкий 15 символов.
      ?

      Read Me !!!!!.txt 4326DA7DB551.txt
    • nikvpro
      Шифровальщик Hiden_pro@aol.com (возможно разновидность VoidCrypt Ransomware)
      Автор nikvpro
      Здравствуйте!
      Вирус зашифровал файлы, прилагаю файлы отчета Farbar, пару зашифрованных файлов и требование выкупа.
      Если нужен файл вируса - могу выслать.
      Прогнал вирус по VirusTotal, много совпадений с: VoidCrypt 
       
      Были зашифрованы одновременно файлы на трёх компьютерах, в одно и то же время.
      Достаточно ли файлов отчета и примеров зашифрованных файлов с одного компьютера или отдельно с каждого компьютера надо?
      И, если надо отдельно по каждому компьютеру, то можно ли отчеты и файлы со всех компьютеров выложить в одной теме или создавать новые темы для каждого компьютера?
       
       
      Addition.txt FRST.txt Зашифрованные файлы и выкуп.rar
    • TheLoveS
      Помогите пожалуйста расшифровать файлы от .id-148318A8.[veracrypt@foxmail.com].adobe
      Автор TheLoveS
      Доброе время. В апреле подхватил вирус и он зашифровал почти все файлы, нужные и не нужные.
      Сам шифровальщик удален.
      А вот если ставлю программу какую либо, то на экране появляется ярлык в виде белого значка.
      Автологгером собрал логи и прикрепил.
      Очень надеюсь на Вашу помощь. 
      ---------------------------------------------
      PS: Перепробовал все ваши утилиты для расшифровки и не одна не подошла.
    • Николай Тименский
      шифровальщик veracrypt@foxmail.com
      Автор Николай Тименский
      Добрый день.

      Поймали шифровальщик, который зашифровал файлы на сетевых дисках и некоторые папки на сервере, доступные пользователю. Компьютер источник данного бедствия выявили и прошлись  Kaspersky Virus Removal Tool и CureIt. После этих процедур прошлись 


      Farbar Recovery Scan Tool, посмотрите логи , скажите с вирусом покончено ?
      FRST.txt
      Addition.txt
      Shortcut.txt
×
×
  • Создать...