Перейти к содержанию

Вирус-шифровальщик @readme.txt.fftn

MoHcTpUk
 Поделиться

Рекомендуемые сообщения

MoHcTpUk

MoHcTpUk

Опубликовано
Опубликовано (изменено)

Доброго времени суток! Поймал вирус-шифровальщик на Windows Server 2003, все файлы зашифровались и их расширение изменилось на qp@readme.txt.fftn. Поиск по гуглу предположил что это одна из разновидностей YYTO Ramsoware. В каждой папке лежит файл readme.txt

Списались с ними по почте, предложили выкуп за файлы в размере 5000$, так же для доказательства возможности расшифровки расшифровали один из файлов.

 

В прикрепленном архиве содержится:

   readme.txt - записка о том, как расшифровать

   1SACCS.CDX.qp@readme.txt.fftn - зашифрованный файл

   1SACCS.CDX - файл, который вымогатели расшифровали

 

Есть ли способ расшифровать все файлы без выкупа?

YYTO.rar

Изменено пользователем MoHcTpUk
Sandor

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\documents and settings\Администратор\local settings\svchost\svchost.exe');
 QuarantineFile('c:\documents and settings\Администратор\local settings\svchost\svchost.exe', '');
 QuarantineFileF('c:\documents and settings\Администратор\local settings\svchost\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\documents and settings\Администратор\local settings\svchost\svchost.exe', '');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\svchost\svchost.exe', '32');
 DeleteFileMask('c:\documents and settings\Администратор\local settings\svchost\', '*', true);
 DeleteDirectory('c:\documents and settings\Администратор\local settings\svchost\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'svchost');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузите компьютер вручную.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по ссылке из правил) и повторите повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sater123
      Вирус шифровальщик
      Автор sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • Vital888
      Вирус шифровальщик
      Автор Vital888
      Здравствуйте. Помогите пожалуйста. На компьютере с утра обнаружил зашифрованные файлы. 
       
    • dgluhov
      Вирус-шифровальщик
      Автор dgluhov
      Зашифрованы все файлы на компьютере. Имена файлов типа: z52weovl6gu8t9c-Mail(itservicerec@zohomail.eu)-ID(89547642786312).trfsqa. Расширения разные
      Обнаружил папку DecryptionKey на каждом из дисков. Утилиту FIRST.exe запустить смог только с диска восстановления
      Логи во вложении
      DecryptionKey.zip FRST.zip
    • ppasoft
      Вирус шифровальщик
      Автор ppasoft
      Взломали пароль к РДП, заразили вирусом-шифровальщика 2 компьютера.
      На обоих стоял Касперский KIS 12.
      На рабочем столе взломанного аккаунта нашел файл вируса(пароль от архива 123), также там есть еще какие то файлы с названием 5-NS new.exe, с размером около 300мб, вероятно 
      использовалось для установки вирусов. На диске где установлен windows была папка Decryption key, ее тоже приложил в архив файлы, возможно поможет. Также архиве приложен текст вымогателя, логи программы 
      FRST.
      virus.rar Файлы.rar
    • Elgfinby
      Вирус шифровальщик
      Автор Elgfinby
      Здравствуйте, поймали вирус-шифровальщик,  появился такой файл:
      Привет!
      Все файлы зашифрованы.
      Попытка расшифровать файлы приведет к их повреждению.
      Я могу помочь вам за определенную плату.
      Ваш ID ********.
      Свяжитесь со мной по электронной почте — cryptoexpertoo@hotmail.com.

      Если ID нужен, то могу отправить. Так же в файле сообщение ещё на нескольких языках

      Также, если нужно, могу прислать зашифрованные файлы.

      На рабочем столе заставка не поменялась, стоит Kaspersky Internet Security 21.3.10.391(k), быстрая проверка вирусов не находит
×
×
  • Создать...