Перейти к содержанию

{Help557@gmx.de} шифровальщик

chehov
 Поделиться

Рекомендуемые сообщения

chehov

chehov

Опубликовано
Опубликовано

Доброго времени суток!
Ночью 04.08.2019 компьютер был зашифрован вирусом, все файлы имеют сейчас расширение *.{Help557@gmx.de}.exe
OS сейчас не загружается, загрузился с внешнего носителя, папки и файлы на месте и зашифрованы.
Просканировал компьютер на предмет удаленных файлов, ничего нет, следовательно он не спеша все зашифровал и перезагрузился.
Заражение произошло на этом компьютере,
Антивируса Касперский не было.

 

Сообщение от модератора SQ
Перенесено из темы {Help557@gmx.de} шифровальщик


 

Образцы зашифрованных файлов.7z

chehov

chehov

Опубликовано
  • Автор
Опубликовано

Добрый день!

 

Запрос создал

 

Загрузиться не удается, пишет bootmgr is missing, все файла в корне диска зашифрованы

chehov

chehov

Опубликовано
  • Автор
Опубликовано (изменено)

Пока нашел только один файл (во вложении)

пароль 3512


Выполнено повторное сканирование, ничего нет
Антивирус Kaspersky Endpoint Security версия 11.1.1.126

Изменено пользователем kmscom
удалено вредоносное вложение
kmscom

kmscom

Опубликовано
Опубликовано

вредоносное вложение Образец файла eset.exe.Help557@gmx.de.7z удалено

post-27870-0-44259100-1565090910_thumb.jpg post-27870-0-82839400-1565090929_thumb.jpg

  • Спасибо (+1) 1
chehov

chehov

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

Удалось загрузить в безопасный режим и в обычном режиме

 

 

Похоже это Scarab.

Создайте запрос на расшифровку.

 

Уточните пожалуйста, удается ли загрузить в безопасный режим?

SQ

SQ

Опубликовано
Опубликовано

Уточните пожалуйста, вам что-то ответили по созданной Вами заявке?

 

Можете собрать следующий лог?

 

- Скачайте Farbar Recovery Scan Tool FRST_Icon.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".

    FRST.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
chehov

chehov

Опубликовано
  • Автор
Опубликовано

Просканировал утилитой Каspersky Virus Removal Tool Версия 15.0.19.0[/size]

Обнаружен файл зараженный (rdpwrap.dll)[/size]

 

Просканировал утилитой Каspersky Virus Removal Tool Версия 15.0.19.0[/size]

Обнаружен файл зараженный (rdpwrap.dll)[/size]

 

 

Уточните пожалуйста, вам что-то ответили по созданной Вами заявке?

Пока не ответили

 

 

Можете собрать следующий лог?

Могу, позже

Просканировал утилитой Каspersky Virus Removal Tool Версия 15.0.19.0[/size]

Обнаружен файл зараженный (rdpwrap.dll)[/size]

 

Просканировал утилитой Каspersky Virus Removal Tool Версия 15.0.19.0[/size]

Обнаружен файл зараженный (rdpwrap.dll)[/size]

 

 

Уточните пожалуйста, вам что-то ответили по созданной Вами заявке?

Пока не ответили

 

 

Можете собрать следующий лог?

Могу, позже

Пароль на архив 3512

post-55131-0-59473200-1565093255_thumb.jpg

SQ

SQ

Опубликовано
Опубликовано

Согласно скринам, это не вирус (not-a-virus:*) пожалуйста не прикладывайте вредоносное ПО к сообщениям.

chehov

chehov

Опубликовано
  • Автор
Опубликовано (изменено)

Хорошо, извиняюсь

 

Согласно скринам, это не вирус (not-a-virus:*) пожалуйста не прикладывайте вредоносное ПО к сообщениям.

Addition.txt

FRST.txt

Изменено пользователем SQ
удалил чрезмерное цитирование.
SQ

SQ

Опубликовано
Опубликовано

Очень много файлов пошифровал системных из-за этого возникли у вас проблемы с загрузкой ОС.

 

На данный момент могу предложить только зачистку мусора. Вам необходимо пождать ответа от тех. поддержки ЛК касаемо расшифровки.

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
CreateRestorePoint:
HKU\S-1-5-21-2206163494-3117099904-2618562288-1000\...\Run: [nOQEcqLp] => C:\Users\User\!!! RESTORE YOUR FILES !!!.TXT [752 2019-08-04] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-03] () [File not signed]
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
Startup: C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!! RESTORE YOUR FILES !!!.TXT [2019-08-04] () [File not signed]
2019-08-04 02:38 - 2019-08-04 02:38 - 000918946 _____ C:\Users\User\nOQEcqLp.bmp
2019-08-04 02:38 - 2019-08-04 02:38 - 000000752 _____ C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:38 - 2019-08-04 02:38 - 000000752 _____ C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:37 - 2019-08-04 02:37 - 000000752 _____ C:\Users\User2\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:37 - 2019-08-04 02:37 - 000000752 _____ C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:37 - 2019-08-04 02:37 - 000000752 _____ C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:36 - 2019-08-04 02:36 - 000000752 _____ C:\Users\user1\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\User\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\Users\Default User\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\Все пользователи\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\User2\Downloads\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\User2\Documents\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\User2\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\user1\Downloads\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\user1\Documents\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\Users\user1\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:29 - 2019-08-04 02:29 - 000000752 _____ C:\ProgramData\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:38 - 000000752 _____ C:\Users\User\Desktop\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:38 - 000000752 _____ C:\Users\User\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\User\Downloads\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\User\Documents\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Public\Downloads\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Public\Documents\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Public\Desktop\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Public\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default\Downloads\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default\Documents\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default\Desktop\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default User\Downloads\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default User\Documents\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\Default User\Desktop\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:28 - 2019-08-04 02:28 - 000000752 _____ C:\Users\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:27 - 2019-08-04 02:27 - 000000752 _____ C:\Program Files (x86)\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:26 - 2019-08-04 02:26 - 000000752 _____ C:\Program Files\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:26 - 2019-08-04 02:26 - 000000752 _____ C:\!!! RESTORE YOUR FILES !!!.TXT
2019-08-03 23:08 - 2019-08-03 23:08 - 000000752 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!!! RESTORE YOUR FILES !!!.TXT
2019-08-03 23:08 - 2019-08-03 23:08 - 000000752 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\!!! RESTORE YOUR FILES !!!.TXT
2019-08-03 23:08 - 2019-08-03 23:08 - 000000752 _____ C:\Users\User\AppData\Roaming\!!! RESTORE YOUR FILES !!!.TXT
2019-08-03 23:08 - 2019-08-03 23:08 - 000000000 ____D C:\Users\User\AppData\Roaming\Process Hacker 2
2019-08-04 02:26 - 2019-08-04 02:26 - 000000752 _____ () C:\Program Files\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:27 - 2019-08-04 02:27 - 000000752 _____ () C:\Program Files (x86)\!!! RESTORE YOUR FILES !!!.TXT
2019-08-03 23:08 - 2019-08-03 23:08 - 000000752 _____ () C:\Users\User\AppData\Roaming\!!! RESTORE YOUR FILES !!!.TXT
2019-08-04 02:35 - 2019-08-04 02:35 - 000000752 _____ () C:\Users\User\AppData\Local\!!! RESTORE YOUR FILES !!!.TXT
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
SQ

SQ

Опубликовано
Опубликовано

На этом все, на данный момент пока нет публичных решений. Ожидайте ответа от ЛК, если ранее создали заявку по расшифровки.

Sandor

Sandor

Опубликовано
Опубликовано

Заявка создана

Результат сообщите здесь тоже, пожалуйста.
  • Спасибо (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ArtemAntonov
      файлы зашифрованы с расширением .black
      Автор ArtemAntonov
      Приветствую
       
      прошу помочь с решением проблемы
      зашифрованные файлы вложил 
       
       
    • MikhailG
      Файлы зашифрованы с расширением .black
      Автор MikhailG
      Добрый вечер! посмотрите пожалуйста логи .
      все файлы на компе зашифрованы.
       
      KVRT нашел 5 вирусов и удалил их,
      логи автологера в аттаче. спасибо!

      извините логи не приложил.
      CollectionLog-2020.02.08-19.17.zip
    • Madjack71
      Файлы зашифрованы ".black"
      Автор Madjack71
      Добрый день!
       
      Файлы на компе зашифрованы .black
       
      Прикладываю файлы FRST64, Пару зашифрованных файлов и требования злоумышленников.
       
      Помогите, данные очень важны!
      FRST 64.zip
      Инструкция по расшифровке файлов black.zip
    • Tyan
      зашифрованы файлы .b78vi7v6ri66b
      Автор Tyan
      Открыли письмо и получили зашифрованные файлы.
      Систему уже откатили снимком из образа.
      Хочу уточнить есть ли вероятность на расшифровки.
       
      P.S. открывали 2 письма (оба похожи на вирусы)
      P.S.2 пароль на архив с вирусом - 1
      Addition.txt
      FRST.txt
      CollectionLog-2019.12.23-12.52.zip
      Virus.zip
      HOW TO RECOVER ENCRYPTED FILES.TXT
      автономки.rar
    • maratashirk
      Зашифрованы файлы "*.black"
      Автор maratashirk
      Здравствуйте!

      Стоит Windows2008 с терминальным сервером, зашифрованные файлы имею вид 

      5X=i9Q5mJNux+iUxfDOy4Z3tUB7Am4.black

      В текстовом файле "Инструкции по расшифровке файлов black" написано следующее:

       

      "Напишите на почту - black19@cock.li
      ====================================================================================================
       
      ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
       
      Ваш личный идентификатор"
       
      Отчёт с AutoLogger во вложении. Буду ждать ответа. Спасибо!
      CollectionLog-2020.01.14-12.36.zip
×
×
  • Создать...