katranx 0 Опубликовано 24 сентября, 2019 Share Опубликовано 24 сентября, 2019 Здравствуйте все, кто может помочь. Видимо получив доступ по RDP удалили антивирус drweb и зашифровали файлы Стали такого вида email-ferrlock@cock.li.ver-CS 1.7.id-.fname-***.cs16 Может ли кто-то помочь? Файлы и отчеты здесь https://yadi.sk/d/TNWP_igRLIjs1g Поддержка drweb помочь не может Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 24 сентября, 2019 Share Опубликовано 24 сентября, 2019 Здравствуйте! 1. Логи выкладывайте сюда через Расширенную форму - Загрузить файл. 2. Если есть записка с требованием выкупа, ее тоже прикрепите. 3. Логи нужны другие - Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
katranx 0 Опубликовано 24 сентября, 2019 Автор Share Опубликовано 24 сентября, 2019 Правильные логи И пример зашифрованных файлов CollectionLog-2019.09.24-11.33.zip cs16.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 24 сентября, 2019 Share Опубликовано 24 сентября, 2019 Если есть записка с требованием выкупаПодразумевался один из файлов README.txt Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
katranx 0 Опубликовано 24 сентября, 2019 Автор Share Опубликовано 24 сентября, 2019 Сделано. Файл с мейлом тоже в аттаче Если есть записка с требованием выкупаПодразумевался один из файлов README.txtДополнительно:Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.Когда программа запустится, нажмите Yes для соглашения с предупреждением.Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.Подробнее читайте в этом руководстве. Addition.txt FRST.txt README.txt Addition.txt FRST.txt README.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 24 сентября, 2019 Share Опубликовано 24 сентября, 2019 Пользователя admin (S-1-5-21-3699417323-3432533660-1855583266-1001 - Administrator - Enabled) => C:\Users\adminесли не сами создавали, удалите. Далее: Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Администратор\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Администратор\Downloads\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Администратор\Documents\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Администратор\Desktop\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Администратор\AppData\Roaming\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Администратор\AppData\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Администратор\AppData\LocalLow\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Администратор\AppData\Local\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Public\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Public\Downloads\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\jurist\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\jurist\Downloads\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\jurist\Documents\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\jurist\Desktop\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\jurist\AppData\Roaming\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\jurist\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\jurist\AppData\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\Users\jurist\AppData\LocalLow\README.txt 2019-09-24 00:20 - 2019-09-24 00:20 - 000000088 _____ C:\README.txt 2019-09-24 00:16 - 2019-09-24 00:16 - 000000088 ____C C:\Users\gljurist\README.txt 2019-09-24 00:16 - 2019-09-24 00:16 - 000000088 _____ C:\Users\jurist\AppData\Local\README.txt 2019-09-24 00:16 - 2019-09-24 00:16 - 000000088 _____ C:\Users\jurist\AppData\Local\Apps\README.txt 2019-09-24 00:16 - 2019-09-24 00:16 - 000000088 _____ C:\Users\gljurist\Downloads\README.txt 2019-09-24 00:16 - 2019-09-24 00:16 - 000000088 _____ C:\Users\gljurist\Documents\README.txt 2019-09-24 00:16 - 2019-09-24 00:16 - 000000088 _____ C:\Users\gljurist\Desktop\README.txt 2019-09-24 00:16 - 2019-09-24 00:16 - 000000088 _____ C:\Users\gljurist\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-09-24 00:10 - 2019-09-24 00:10 - 000000088 ____C C:\Users\gljurist\AppData\README.txt 2019-09-24 00:10 - 2019-09-24 00:10 - 000000088 _____ C:\Users\gljurist\AppData\Roaming\README.txt 2019-09-24 00:10 - 2019-09-24 00:10 - 000000088 _____ C:\Users\gljurist\AppData\LocalLow\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\gljurist\AppData\Local\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default\Downloads\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default\Documents\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default\Desktop\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default\AppData\Roaming\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default\AppData\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default\AppData\Local\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default User\Downloads\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default User\Documents\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default User\Desktop\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default User\AppData\Roaming\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default User\AppData\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\Default User\AppData\Local\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\admin\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\admin\Downloads\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\admin\Documents\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\admin\Desktop\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\admin\AppData\Roaming\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\admin\AppData\README.txt 2019-09-23 23:59 - 2019-09-23 23:59 - 000000088 ____C C:\Users\admin\AppData\LocalLow\README.txt 2019-09-23 23:58 - 2019-09-24 00:20 - 000000802 ____C C:\Users\Все пользователи\README.txt 2019-09-23 23:58 - 2019-09-24 00:20 - 000000802 ____C C:\ProgramData\README.txt 2019-09-23 23:58 - 2019-09-24 00:20 - 000000802 _____ C:\Users\Public\Documents\email-ferrlock@cock.li.ver-CS 1.7.id-.fname-README.txt.cs16 2019-09-23 23:58 - 2019-09-24 00:20 - 000000802 _____ C:\Users\Public\Desktop\email-ferrlock@cock.li.ver-CS 1.7.id-.fname-README.txt.cs16 2019-09-23 23:58 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Public\Documents\README.txt 2019-09-23 23:58 - 2019-09-24 00:20 - 000000088 _____ C:\Users\Public\Desktop\README.txt 2019-09-23 23:58 - 2019-09-23 23:59 - 000000802 ____C C:\Users\Все пользователи\email-ferrlock@cock.li.ver-CS 1.7.id-.fname-README.txt.cs16 2019-09-23 23:58 - 2019-09-23 23:59 - 000000802 ____C C:\ProgramData\email-ferrlock@cock.li.ver-CS 1.7.id-.fname-README.txt.cs16 2019-09-23 23:58 - 2019-09-23 23:58 - 000000088 ____C C:\Users\admin\AppData\Local\README.txt 2019-09-23 23:58 - 2019-09-23 23:58 - 000000088 ____C C:\ProgramData\Microsoft\Windows\Start Menu\README.txt 2019-09-23 23:58 - 2019-09-23 23:58 - 000000088 ____C C:\Program Files\README.txt 2019-09-23 23:56 - 2019-09-23 23:56 - 000000088 ____C C:\Program Files\Common Files\README.txt 2019-09-23 23:55 - 2019-09-24 00:20 - 000000802 ____C C:\Users\email-ferrlock@cock.li.ver-CS 1.7.id-.fname-README.txt.cs16 2019-09-23 23:55 - 2019-09-24 00:20 - 000000088 ____C C:\Users\README.txt 2019-09-23 23:51 - 2018-01-15 02:56 - 000000028 _____ C:\Users\gljurist\Desktop\Shadow.bat Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
katranx 0 Опубликовано 24 сентября, 2019 Автор Share Опубликовано 24 сентября, 2019 @Sandor Сообщение от модератора Mark D. Pearlstone Чрезмерное цитирование удалено. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 24 сентября, 2019 Share Опубликовано 24 сентября, 2019 Цитировать все предыдущее сообщение не нужно. Некоторое время подождите. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 24 сентября, 2019 Share Опубликовано 24 сентября, 2019 Без тела шифровальщика сказать что-то определенное о возможности расшифровки не получится. Цитата Ссылка на сообщение Поделиться на другие сайты
katranx 0 Опубликовано 24 сентября, 2019 Автор Share Опубликовано 24 сентября, 2019 Без тела шифровальщика сказать что-то определенное о возможности расшифровки не получится. Всё что смог найти $I05MMYN.rar Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 24 сентября, 2019 Share Опубликовано 24 сентября, 2019 Замечательно. Шифратор есть в архиве. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 24 сентября, 2019 Share Опубликовано 24 сентября, 2019 Увы, порадовать нечем. В этой версии авторы прикрыли дыру, которая была в предыдущем варианте. Цитата Ссылка на сообщение Поделиться на другие сайты
katranx 0 Опубликовано 25 сентября, 2019 Автор Share Опубликовано 25 сентября, 2019 Эхх ,я думал что наличие самого злодея поможет... Столько информации потеряно. Не знаете сколько эти гады требуют за дешифровку? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 25 сентября, 2019 Share Опубликовано 25 сентября, 2019 Не знаю. Цитата Ссылка на сообщение Поделиться на другие сайты
katranx 0 Опубликовано 25 сентября, 2019 Автор Share Опубликовано 25 сентября, 2019 Не знаю. Я уже знаю)) 70000 т.р. написал. Руссиш товарищ. Значит нет никакой надежды на расшифровку? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.