Перейти к содержанию

шифровальщик ivanmalahov@protonmail.com.aeFijim3

АлексндрPLAZA

Автор АлексндрPLAZA
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

АлексндрPLAZA

АлексндрPLAZA

Опубликовано
Опубликовано

помогите расшифровать папку
 

помогите расшифровать папку

Фотомагии промсвязьбанк 17500.xls.[ivanmalahov@protonmail.com].aeFijim3
 

помогите расшифровать папку
 

помогите расшифровать папку

Фотомагии промсвязьбанк 17500.xls.[ivanmalahov@protonmail.com].aeFijim3

 


этот чел хочет 30тр за то чтоб папку расшифоровать
 

Сообщение от модератора kmscom
сообщение перенесено из темы шифровальщик ivanmalahov@protonmail.com.Eivoh1na

СЧЕТА ООО.zip

АлексндрPLAZA

АлексндрPLAZA

Опубликовано
  • Автор
Опубликовано

Защифровали папку с документами, просят денег. Оправил 1тр, в ответ ни чего и больше не выходят на связь. Просят 7500 но я не оплачиваю!

Сообщение от модератора thyrex
Темы объединены

post-56077-0-80197300-1571311094_thumb.jpg

Sandor

Sandor

Опубликовано
Опубликовано

Заражение произошло на этом компьютере?

Sandor

Sandor

Опубликовано
Опубликовано

Несколько зашифрованных документов с запиской о выкупе упакуйте в архив и прикрепите к следующему сообщению.

АлексндрPLAZA

АлексндрPLAZA

Опубликовано
  • Автор
Опубликовано

Я сам с ним связался так как его почта была указан в закодированом  документе прописана в каждом.

вирусы.zip

Sandor

Sandor

Опубликовано
Опубликовано

Пароль на RDP смените.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Кнопка "Яндекс" на панели задач

Служба автоматического обновления программ

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKU\S-1-5-21-4213886276-1634149313-1041166016-1000\...\MountPoints2: {13a85bb8-3e3c-11e8-85ba-d8cb8a1ea417} - E:\AutoRun.exe
HKU\S-1-5-21-4213886276-1634149313-1041166016-1000\...\MountPoints2: {186a97d4-2063-11e9-9513-d8cb8a1ea417} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4213886276-1634149313-1041166016-1000\...\MountPoints2: {2011647e-bba8-11e7-ab43-e69320b36cfb} - I:\DriverPack.exe
HKU\S-1-5-21-4213886276-1634149313-1041166016-1000\...\MountPoints2: {38887b69-bbb6-11e7-86a6-81ac51efd1fe} - E:\wpi\MInst.exe
HKU\S-1-5-21-4213886276-1634149313-1041166016-1000\...\MountPoints2: {4ede925a-85be-11e9-80f4-d8cb8a1ea417} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4213886276-1634149313-1041166016-1000\...\MountPoints2: {54f8af7e-e7f8-11e9-820a-d8cb8a1ea417} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4213886276-1634149313-1041166016-1000\...\MountPoints2: {852bd832-251e-11e9-bc19-d8cb8a1ea417} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4213886276-1634149313-1041166016-1000\...\MountPoints2: {8611532d-e703-11e8-baa4-d8cb8a1ea417} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4213886276-1634149313-1041166016-1000\...\MountPoints2: {8db43b8c-cce7-11e7-9c39-d8cb8a1ea417} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4213886276-1634149313-1041166016-1000\...\MountPoints2: {cee0dbc0-07d7-11e8-b397-d8cb8a1ea417} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4213886276-1634149313-1041166016-1000\...\MountPoints2: {f1cadd12-3ee0-11e8-b32d-d8cb8a1ea417} - E:\HiSuiteDownLoader.exe
GroupPolicy: Restriction ? <==== ATTENTION
S3 45822FA818F7CFF0; \??\D:\Temp\8BA6A406-1D61897E-D3A7F7A4-4C22D748\663f55c76.sys [X]
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

p.s.

Следов заражения по-прежнему не видно. Вы точно уверены, что шифрование произошло на этой системе?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • moldovan
      Вирус шифровальщик UIWIX
      Автор moldovan
      Все файлы (аудио, видео, фото) стали с расширением UIWIX. Появился на рабочем столе файл с названием _DECODE_FILES, а содержимое такое:
       
      >>> ВСЕ ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАБЛОКИРОВАНЫ <<<
        Ваш персональный код: 2156908470   Чтобы расшифровать ваши файлы, вам необходимо приобрести специальное программное обеспечение. Не пытайтесь декодировать или модифицировать файлы, это может быть нарушено. Для восстановления данных следуйте инструкциям!   Вы можете узнать больше на этом сайте: https://4ujngbdqqm6t2c53.onion.to https://4ujngbdqqm6t2c53.onion.cab https://4ujngbdqqm6t2c53.onion.nu   Если ресурс недоступен в течение длительного времени для установки и использования браузера tor. После запуска браузера Tor вам нужно открыть эту ссылку http://4ujngbdqqm6t2c53.onion 
      CollectionLog-2017.05.18-19.47.zip
    • director@ck66.ru
      Вирус helppppppp@meta.ua
      Автор director@ck66.ru
      Добрый день. Сегодня неожиданно обнаружили шифровальщика. Все файлы с расширением - helppppppp@meta.ua
      Нашли файл к текстом "Для расшифровки пишите: helppppppp@meta.ua Укажите ПИН: 65"
       
      В различных формах сделали как написано. вот что у нас есть. Частично есть файлы - первичное и зашифрованное состояние.
      WHATAFUCK.txt
      CollectionLog-2017.05.19-11.01.zip
      п 4-5.rar
    • Nikols
      Меня атаковал шифровальщик
      Автор Nikols
      Сегодня меня атаковал шифровальщик, главная потеря база 1с, у меня не было рез. копий и антивируса нормального. Прилагаю скриншот вымогателей, посоветуйте что это за вирус и можно ли спасти эту базу
    • mupts
      Зашифрованы файлы на ПК
      Автор mupts
      По почте подхватили шифровальщик, касперский определил как Trojan-Ransom.Win32.Gen.duh и перенёс в карантин, но файлы успели пострадать. Расширение у файлов не поменялось, но открыть их невозможно, говорит о повреждении файлов.
       
      Пострадали как файлы ворда и экселя, так и файлы pdf с архивами. Пострадали причем файлы только на жестком диске, на сетевом диске файлы открываются, хотя у пользователя есть доступ на редактирования своей сетевой папки.
       
      В папках где есть зашифрованные файлы, создаётся файл: README_NAN5qITp.html
       
      Прошу помочь, заранее спасибо.
      CollectionLog-2017.05.12-15.01.zip
      README_NAN5qITp.html
    • kravtsov
      Помогите с расшифровкой Trojan.Win32.Deshacop.fow
      Автор kravtsov
      Доброго времени суток!
       
      Словили шифровальщик, Касперский говорит, что: Trojan.Win32.Deshacop.fow
      Есть ли возможность подобрать дешифратор?
       
      В прикрепленном архиве:
      Сам шифровальщик, пароль на архив virus
      Файл с требованиями в нем же и сгенерированный ID, пароль на архив virus
      Зашифрованный файл с оригиналом
      Отчеты FRST
       
      Заранее благодарен!
×
×
  • Создать...