Перейти к содержанию

Рекомендуемые сообщения

Добрый день! Помогите расшифровать файлы с таким расширением .id-96A6B97A.[savemydata@qq.com].harma. Не успели нам все зашифровать, случайно человек под своим пользователем вошел на сервер и сделал скриншоты, может помогут. Они даже не успели условия оставить, написал им на почту, пишут следующее: 

 

 

All your Remote desktop passwords hacked. Change all user passwords to more harder. Immediately!

1.  Price for decryption.
The price for decryption is 3000 $. We receive payment only in BITCOINS. (Bitcoin it is first cryptocurrency)

2.  Attention!
Do not rename encrypted files. 
Do not try to decrypt your files using third party software, it may cause permanent data loss. 
Do not trust anyone! Only we have keys to your files! Without this keys restore your data is impossible. 

3.  Free decryption as guarantee
You can send us up to 1 file for free decryption.
Size of file must be less than 1 Mb (non archived). We don`t decrypt for test DATABASE, XLS and other important files. Remember this.

4.  Decryption process:
To decrypt the files, transfer money to our bitcoin wallet number: "1JuKvC2YcDyXNNz2eoFmFENHGFJUSCKocM". As we receive the money we will send you:
1.     Decryption program.
2.     Detailed instruction for decryption. 
3.     And individual keys for decrypting your files.

5.  The process of buying bitcoins:
The easiest way to buy bitcoins: https://localbitcoins.com/
                                 https://bitbay.net   https://www.bitquick.co/   
                                 https://www.xmlgold.eu/  
                                 https://coinmama.com/  
                                 https://cex.io/  
IMPORTANT! Don`t use coinbase! it take more than 2 week to make coinbase verification. P.S. The easiest way to buy bitcoins in CHINA: https://www.huobi.com/  https://www.bitoex.com/

 

post-54685-0-34680900-1561978244_thumb.jpeg

post-54685-0-09137200-1561978255_thumb.jpeg

post-54685-0-03077500-1561978262_thumb.jpeg

post-54685-0-19172300-1561978268_thumb.jpeg

post-54685-0-55064900-1561978273_thumb.jpeg

Ссылка на сообщение
Поделиться на другие сайты

Я ведь вам писал в соседней теме: Порядок оформления запроса о помощи

 

Расшифровки этой версии нет. Если нужна помощь в очистке от вредоноса и его следов, соберите и прикрепите нужные логи.

Ссылка на сообщение
Поделиться на другие сайты

Я ведь вам писал в соседней теме: Порядок оформления запроса о помощи

 

Расшифровки этой версии нет. Если нужна помощь в очистке от вредоноса и его следов, соберите и прикрепите нужные логи.

 

Прикрепляю логи

Еще раз прикрепляю.

CollectionLog-2019.06.30-19.00.zip

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Здравствуйте! Файлы прикрепил. Хочу добить его окончательно)

FRST.txt

Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    Task: {5F0E7F89-FC38-464E-8655-6038171CFF89} - System32\Tasks\AdobeUpdate => C:\Users\Andrey\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs\Adobe\taskhost.exe <==== ATTENTION
    ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    Task: {5F0E7F89-FC38-464E-8655-6038171CFF89} - System32\Tasks\AdobeUpdate => C:\Users\Andrey\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs\Adobe\taskhost.exe <==== ATTENTION
    ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Прикрепляю лог.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

На этом с очисткой всё.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Читайте Рекомендации после удаления вредоносного ПО

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

На этом с очисткой всё.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Читайте Рекомендации после удаления вредоносного ПО

 

Спасибо большое! Где будет информация если выйдет расшифровщик для зашифрованных файлов?

На этом с очисткой всё.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Читайте Рекомендации после удаления вредоносного ПО

 

Скрипт в AVZ ответил что уязвимостей не обнаружено. Он проник через RDP, у юзера одного пароль стоял 111)) Забыли про этого юзера, сейчас выставил настройку чтобы только сложные пароли были.

Ссылка на сообщение
Поделиться на другие сайты

Не хочу огорчать, но в ближайшее время не рассчитывайте.

Следите за нашим форумом, или на сайтах

https://noransom.kaspersky.com/ru/

https://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Не хочу огорчать, но в ближайшее время не рассчитывайте.

Следите за нашим форумом, или на сайтах

https://noransom.kaspersky.com/ru/

https://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/

Может еще подскажете или скрипт есть, чтобы быстро пройтись и все файлы зашифрованный им удалить?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • DramaticCarAuthor
      От DramaticCarAuthor
      Здравствуйте. После запуска установщика, полученного из торрента, в основной браузер (google chrome) без моего вмешательства установилось расширение "savevpn", при взаимодействии с ним ничего не происходит, источником установки был длинный локальный путь на этом компьютере. Я сразу удалил расширение. Мне кажется, что этого шага может быть недостаточно, так же не ясно что ещё могло быть установлено. Поводом для беспокойства послужил результат (imgur ссылка с результатом сканирования) полной проверки антивирусом. Последующие проверки Касперским, Dr.Web CureIt ничего не показали, всё же считаю нужным убедиться, что угрозы нет. 
      CollectionLog-2023.01.30-07.20.zip
    • On-Lite
      От On-Lite
      Добрый день.
      С 9-10 утра 23.01.2023 числа обнаружен сетевой вирус шифровальщик azadi33@keemail.me
      2 компа заражены. 
      зашифровал все файлы, в т.ч. файловые базы данных на сервере 1С.
      т.е. ПК пользователя, у пользователя зашифровал и пролез по RDP сеансу на сервер и всё зашифровал на сервере.
      Огромная просьба помочь расшифровать базы данных:
      Текст сообщения
      How To Restore Files
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      To restore the system write to both : azadi33@smime.ninja and azadi33@keemail.me
      Your Decryption ID: 23868595F549B397
       
       
       
       
       
      FRST.zip 1Cv7.DD.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip 1SBLOB.CDX.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip
    • arti
      От arti
      Здравствуйте, что может быть? Если делать полную проверку ни чего не находит, как открывается браузер постоянно выскакивает это(
      У меня касперский тотал секьюрити, что это может быть, и как мне его побороть?

    • Rey_fw
      От Rey_fw
      Очень сильная идет нагрузка на ЦП, при открытии диспетчера задач резко становится все хорошо и красиво.
      Антивирусы открываются, с ними проблем нет вроде. Все думаю так же на майнеры 😕
      Скачал Farbar Recovery Scan Tool, можете ли помочь с решением?
       
      Downloads.rar
    • rUsure
      От rUsure
      Добрый день. Сегодня KSC начал спамить о том что обнаружил Intrusion.Win.MS17-010.o.
      Т.к опыта еще в администрировании мало и не сталкивался на практике с этим, хотел бы уточнить у более опытных коллег нюансы устранения данной проблемы.
       

       
      В связи с чем вопрос, это он уже внутри сети? Или просто пока ищет лазейки? Порты 139 и 445 контролируются с помощью KSC.
      Если он уже внутри сети, то как найти и обезвредить?
      Спасибо.
×
×
  • Создать...