Перейти к содержанию

[РЕШЕНО] veracrypt@foxmail.com зашифровал все диски и просит денег за расшифровку

vvf.nn
 Поделиться

Рекомендуемые сообщения

vvf.nn

vvf.nn

Опубликовано
Опубликовано

Здравствуйте!

Вчера по почте получил файл с расширением pdf, ничего другого не открывал. Компьютер не выключался. Сегодня заставка mouse lokker с просьбой нажать enter. Вышел из пользователя с помощью Ctrl-Alt-Del. Зашел под другим пользователем. Файлы оказались еще живыми. Поставил копирование на внешний диск. Не следил, компьютер выключился. После включения файлы на всех дисках оказались зашифрованы. В приложении файлы из подозреваемого письма, логи. Что можно сделать для расшифровки файлов?

Переписка с владельцами шифровальщика идет с адреса veracrypt@foxmail.com, затем с  veradecrypt@gmail.com

CollectionLog-2019.06.04-22.19.zip

Attachments_m.dymza@maygk.ru_2019-06-03_17-53-33.zip

mike 1

mike 1

Опубликовано
Опубликовано (изменено)
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

RDP Wrapper сами себе ставили? Смените пароль от RDP. 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 TerminateProcessByName('c:\users\p2\appdata\local\packages\microsoft.microsoftedge_8wekyb3d8bbwe\tempstate\downloads\installpack_winrar_19a88 (1).exe');

 TerminateProcessByName('c:\users\p2\appdata\local\temp\ip\installpack.exe');

 QuarantineFile('c:\users\p2\appdata\local\temp\ip\installpack.exe','');

 DeleteFile('c:\users\p2\appdata\local\temp\ip\installpack.exe','32');

 DeleteFile('C:\Users\P2\AppData\Roaming\Info.hta','32');

 RegKeyParamDel('HKEY_USERS','S-1-5-21-603544908-785802418-3046487391-1004\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\P2\AppData\Roaming\Info.hta','x32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\WINDOWS\System32\Info.hta','x64');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\vvf\AppData\Roaming\Info.hta','x64');

 DeleteFile('C:\WINDOWS\System32\Info.hta','64');

 DeleteFile('C:\Users\vvf\AppData\Roaming\Info.hta','64');

 RegKeyParamDel('HKEY_USERS','S-1-5-21-603544908-785802418-3046487391-1004\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\P2\AppData\Roaming\Info.hta','x64');

 DeleteFile('C:\Users\P2\AppData\Roaming\Info.hta','64');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

 

Сделайте новые логи Автологгером. 
Изменено пользователем mike 1
vvf.nn

vvf.nn

Опубликовано
  • Автор
Опубликовано

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
RDP Wrapper сами себе ставили? Смените пароль от RDP. 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 TerminateProcessByName('c:\users\p2\appdata\local\packages\microsoft.microsoftedge_8wekyb3d8bbwe\tempstate\downloads\installpack_winrar_19a88 (1).exe');
 TerminateProcessByName('c:\users\p2\appdata\local\temp\ip\installpack.exe');
 QuarantineFile('c:\users\p2\appdata\local\temp\ip\installpack.exe','');
 DeleteFile('c:\users\p2\appdata\local\temp\ip\installpack.exe','32');
 DeleteFile('C:\Users\P2\AppData\Roaming\Info.hta','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-603544908-785802418-3046487391-1004\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\P2\AppData\Roaming\Info.hta','x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\WINDOWS\System32\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\vvf\AppData\Roaming\Info.hta','x64');
 DeleteFile('C:\WINDOWS\System32\Info.hta','64');
 DeleteFile('C:\Users\vvf\AppData\Roaming\Info.hta','64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-603544908-785802418-3046487391-1004\Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\P2\AppData\Roaming\Info.hta','x64');
 DeleteFile('C:\Users\P2\AppData\Roaming\Info.hta','64');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"
 
 
Сделайте новые логи Автологгером. 

 

Есть проблема. Яндекс заблокировал доставку 

<mike1@avp.su>: host ASPMX.L.GOOGLE.COM[173.194.73.27] said: 552-5.7.0 This

    message was blocked because its content presents a potential 552-5.7.0

    security issue. Please visit 552-5.7.0

    https://support.google.com/mail/?p=BlockedMessage to review our 552 5.7.0

    message content and attachment content guidelines. w13si14696948lfq.105 -

    gsmtp (in reply to end of DATA command)

как не меняю текст письма и ставлю карантин в кавычки, яндекс блокирует, как рассылку спама

Это письмо отправлено почтовым сервером yandex.ru.

 

К сожалению, мы вынуждены сообщить Вам о том, что Ваше письмо не может

быть отправлено одному или нескольким адресатам. Технические подробности можно найти ниже.

 

Возможные причины недоставки указаны по адресу:

https://yandex.ru/support/mail-new/wizard/zout_send/not-got-report-yes-other.html

mike 1

mike 1

Опубликовано
Опубликовано

Цитировать целиком мое сообщение не нужно. Выполняйте остальное. + Жду ответ на вопрос.

mike 1

mike 1

Опубликовано
Опубликовано

Логи на форум грузите. На вопрос ответите?

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

PDF-ка чистая. А вот пароль от RDP ломанули.

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Изменено пользователем mike 1
mike 1

mike 1

Опубликовано
Опубликовано
Частично информацию возможно получится восстановить из теневых копий с помощью ShadowExplorer. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!


  • Временно выгрузите антивирус, файрволл и прочее защитное ПО


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CloseProcesses:

HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13928 2019-06-04] () [File not signed]

HKLM\...\Run: [C:\Users\vvf\AppData\Roaming\Info.hta] => C:\Users\vvf\AppData\Roaming\Info.hta [13928 2019-06-04] () [File not signed]

HKU\S-1-5-21-603544908-785802418-3046487391-1001\...\MountPoints2: {df6f7237-9a81-11e8-89cd-806e6f6e6963} - "F:\.\bin\autoins1.exe" ".\bin\SetupRT.exe /q:1" ".\bin\AMovie.exe /q:1" !".\rc.RMT"

HKLM\Software\...\AppCompatFlags\Custom\Chk4Upd.exe: [{7da8c23e-6d60-4dad-aad2-f9c16443dd8c}.sdb] -> Chk4Upd

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-06-04] () [File not signed]

Startup: C:\Users\P2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-06-04] () [File not signed]

Startup: C:\Users\vvf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-06-04] () [File not signed]

virustotal: C:\Users\vvf\Desktop\lock.exe

2019-06-04 09:49 - 2017-08-13 19:32 - 001424896 _____ (Misc314) C:\Users\vvf\Desktop\lock.exe



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

mike 1

mike 1

Опубликовано
Опубликовано

Коммерческая лицензия на наш антивирус имеется?

vvf.nn

vvf.nn

Опубликовано
  • Автор
Опубликовано

Нет, но собираюсь купить.

Windows все равно переставлять.

vvf.nn

vvf.nn

Опубликовано
  • Автор
Опубликовано (изменено)

Понятно, надо купить антивирус и отправить запрос. А что думаете про этих ребят
hxxp://dr-shifro.ru/about.html

 

 

Сообщение от модератора
Убрана активная ссылка на сайт посредников
Изменено пользователем mike 1
Убрал активную ссылку
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Grecener
      Coronavirus
      Автор Grecener
      Добрый день, случилась такая же беда, что и у Lom1k.
      Помогите пожалуйста чем можно.
      Сделал все как описано ранее, прикладываю фалы, сделано на зараженной машине. 
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы. FRST.txt
      Addition.txt
      info.hta.zip
    • eduard777
      возможно ли расшифровать файлы от trojan-ransom.win32.crysis.to?
      Автор eduard777
      Добрый день!
      Подскажите, можно ли расшифровать файлы после trojan-ransom.win32.crysis.to?
      если да, помогите пожалуйста.
      логи прикреплены
      CollectionLog-2020.02.05-21.11.zip
    • mosfod
      HARMA
      Автор mosfod
      Добрый вечер.
      Вирус зашифровал базы 1с и другие файлы. образцы прикрепляю. подскажите что можно сделать.
       
      https://yadi.sk/d/1wXfTa_gfYO7Xg
       
      https://yadi.sk/d/FIgNg_XBDcjCbA
       
      в файле записке написано
       
      all your data has been locked us
      You want to return?
      Write email testfile1@protonmail.com or bitcoins12@tutanota.com

      результат сканирования AutoLogger
      https://yadi.sk/d/IXcarjfPwSxuXw
    • Jordan
      [РЕШЕНО] На Windows 2008 отработал шифровальщик
      Автор Jordan
      Добрый день.
       
      На Windows2008 был подобран пароль и запущен шифровальщик. После шифрования файлы имеют вид [имя файла].id-********.[*******@aol.com].bot
      После обнаружения данной ситуации вирус был найден и удален, но на всякий случай был восстановлен системный раздел из бэкапа.
      Хотелось бы понимать перспективы дешифрации. Спасибо.
      CollectionLog-2019.12.24-19.54.zip
      FRST.zip
    • lex445
      Зашифрованы файлы .harma
      Автор lex445
      Прошу помощи в расшифровке файлов .harma . Сам компьютер почистил . Содержимое файла FILES ENCRYPTED.txt :
      all your data has been locked us
      You want to return?
      Write email maximum@onlinehelp.host
       
      Все фалы переименованы с расширением .id-F07E71A4.[maximum@onlinehelp.host ].harma
       
      Буду очень признателен в помощи.
       
       
      CollectionLog-2019.12.17-19.10.zip
×
×
  • Создать...