Перейти к содержанию

шифратор

Геннадий Потапов

Автор Геннадий Потапов
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O4 - HKCU\..\Run: [1484355211] = C:\Users\Администратор\AppData\Local\Temp\QYCFJNQSVZ.exe

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\QYCFJNQSVZ.exe','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1484355211','x32');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\QYCFJNQSVZ.exe','32');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\QYCFJNQSVZ.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1484355211','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

После выполнения скрипта перезагрузите сервер вручную.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму
 

 

 

 

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Геннадий Потапов

Геннадий Потапов

Опубликовано
  • Автор
Опубликовано

при попытке загрузить карантин зип через форму

Результат загрузки Ошибка загрузки. Данный файл уже был загружен

FRST.txt

Addition.txt

quarantine.zip

Геннадий Потапов

Геннадий Потапов

Опубликовано
  • Автор
Опубликовано

ждать расшифровки ?

SQ

SQ

Опубликовано
Опубликовано

ждать расшифровки ?

К сожалению с расшифровкой помочь не сможем, у Вас новый вариант шифровальщика, на данный момент нет решения (у добровольцев форума). Пробуйте обратиться в тех. поддержку Kaspersky согласно следующей инструкции.

https://forum.kasperskyclub.ru/index.php?showtopic=48525

Вам знакомо следующее:

 

HKLM-x32\...\Run: [1018496] => 1018496

 

 

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
CreateRestorePoint:
2019-06-07 16:24 - 2019-06-07 16:24 - 000001282 _____ C:\Users\Все пользователи\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000001282 _____ C:\ProgramData\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Администратор\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Администратор\Downloads\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Администратор\Documents\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Администратор\AppData\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Администратор\AppData\Local\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Public\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Public\Downloads\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Public\Documents\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Public\Desktop\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default\Downloads\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default\Documents\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default\Desktop\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default\AppData\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default\AppData\Local\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default User\Downloads\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default User\Documents\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default User\Desktop\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default User\AppData\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Users\Default User\AppData\Local\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ C:\Program Files (x86)\README.txt
2019-06-07 16:23 - 2019-06-07 16:24 - 000000050 _____ C:\Users\README.txt
2019-06-07 16:23 - 2019-06-07 16:23 - 000000050 _____ C:\Program Files\README.txt
2019-06-07 16:23 - 2019-06-07 16:23 - 000000050 _____ C:\Program Files\Common Files\README.txt
Folder: C:\ProgramData\Embarcadero
2019-06-07 16:23 - 2019-06-07 16:23 - 000000050 _____ () C:\Program Files\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ () C:\Program Files (x86)\README.txt
2019-06-07 16:23 - 2019-06-07 16:23 - 000000050 _____ () C:\Program Files\Common Files\README.txt
2019-06-07 16:23 - 2019-06-07 16:23 - 000000050 _____ () C:\Program Files (x86)\Common Files\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ () C:\Users\Администратор\AppData\Roaming\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\README.txt
2019-06-07 16:24 - 2019-06-07 16:24 - 000000050 _____ () C:\Users\Администратор\AppData\Local\README.txt
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • imagic
      [РЕШЕНО] Ransomware cryakl 1.5.1
      Автор imagic
      Добрый день.
      Попал по раздаче на ransomware. В вашем форуме заметил лечение конкретного пользователя от данного шифровальщика - тема blackdragon43@yahoo.com. Как я понимаю, версия та же, 1.5.1.0. Таким образом, у меня есть шанс восстановить?
       
      Пример названия файла:
      email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-Autoruns.exe.doubleoffset
       
      Порадуйте меня, пожалуйста, чем сможете 
       
      На данный момент читаю порядок оформления запроса о помощи. По мере возможности обновлю тему.
       
      Кстати, уже назрел вопрос: я извлёк жёсткий диск из жертвы и открыл его через USB адаптер на ноуте. Соответственно, загрузка произведена с другой системы, незаражённой. Какие требования в данном случае для корректной идентификации проблеммы?
    • rofar
      шифровальщик Doubleoffset
      Автор rofar
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете попробовать восстановить их? 
      Есть пара файлов - зашифрованный и такой как он был до шифровки, их прикреплять нужно?
    • G0sh@
      Помогите, пожалуйста, с расшифровкой.
      Автор G0sh@
      Здравствуйте! Помогите, пожалуйста, с расшифровкой email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-2792387762-226255123831548241453476.fname-1 этаж вход.jpg(2).doubleoffset
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы. virus.7z
    • Art168
      Поймал шифровальщик (email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1019697497-27.02.2018 11@45@06
      Автор Art168
      Здравствуйте,
      Поймал шифровальщик (email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1019697497-27.02.2018 11@45@061761572.fname-20130228.xml).
      Зашифровал весь комп и HDD-хранилище. Винду переустановил, а вот hdd-харнилище нет. Помогите, пожалуйста, расшифровать файлы на hdd.
      Заранее благодарен.
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • igmakarik
      [РЕШЕНО] Зашифровались файлы email-biger@x-mail.pro.ver-CL 1.5.1.0
      Автор igmakarik
      Добрый день! Возникла проблема с шифрованием файлов в файловом хранилище. В основном, оказались зашифрованы jpeg. На компьютере переустановил систему. Есть ли какие-то решения данной проблемы? Заранее, огромное спасибо за помощь.
      email-biger@x-mail.pro.ver-CL 1.5.1.0.rar
×
×
  • Создать...