Перейти к содержанию
azlk

[РЕШЕНО] Все ваши файлы зашифрованы! К расшырению файлов добавилось .sivtyfuh332kgayz.onion@mail

Рекомендуемые сообщения

Привет!

 

На компьютере зашифровано много файлов.

В каждой папке на компьютере появился html файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ" следующего содержания:

 

 

Ваш ID:9F2381C0___anyutka"

 

Все ваши файлы зашифрованы!

Все ваши документы, фотографии, базы данных и другие файлы были зашифрованы криптостойким алгоритмом с уникальным для вашего ПК ключом.

Расшифровать файлы можно только имея уникальный пароль для вашего ПК, другими способами расшифровать файлы невозможно!

Инструкция по расшифровке файлов:

1. Скачайте, установите и запустите Tor Browser по ссылке - https://www.torproject.org/dist/torbrowser/4.5/torbrowser-install-4.5_ru.exe (https://www.torproject.org/)

2. Запустив Tor браузер зайдите через него на страницу - http://sivtyfuh332kgayz.onion/

3. Следуйте инструкции на сайте

 

 

P.S. Ранее была схожая тема, но ссылки в ней устарели - https://forum.kasperskyclub.ru/index.php?showtopic=46292

P.S.S. Во вложении результаты сборщика логов.

CollectionLog-2020.01.03-23.41.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Интересно, где такое старье можно было поймать.

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!


  • Временно выгрузите антивирус, файрволл и прочее защитное ПО


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2796901885-2828084496-3065783459-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:Tabs
HKU\S-1-5-21-2796901885-2828084496-3065783459-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.smaxl.net
SearchScopes: HKU\S-1-5-21-2796901885-2828084496-3065783459-1000 -> {1F096B29-E9DA-4D64-8D63-936BE7762CC5} URL = hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=388a07af0000000000000016eb1e8eba&tlver=1.4.19.19&affID=17160
BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik_x64.dll [2010-12-19] (LLC Mail.Ru -> @Mail.Ru)
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKLM - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik_x64.dll [2010-12-19] (LLC Mail.Ru -> @Mail.Ru)
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2796901885-2828084496-3065783459-1000 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik_x64.dll [2010-12-19] (LLC Mail.Ru -> @Mail.Ru)
C:\Users\Анютка\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
S4 McAfee SiteAdvisor Service; c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe [X]
2012-05-03 19:12 - 2012-05-03 19:12 - 000000025 _____ () C:\Users\Анютка\AppData\Roaming\bdfvconp.ini
2010-05-28 12:54 - 2010-05-28 12:54 - 000000000 _____ () C:\Users\Анютка\AppData\Roaming\wklnhst.dat
2015-05-05 17:40 - 2015-05-05 17:32 - 000001151 _____ () C:\Users\Анютка\AppData\Roaming\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-05-05 17:40 - 2015-05-05 17:32 - 000001151 _____ () C:\Users\Анютка\AppData\Roaming\Microsoft\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-05-05 17:38 - 2015-05-05 17:32 - 000001151 _____ () C:\Users\Анютка\AppData\Local\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
MSCONFIG\startupreg: HFALoader => C:\Program Files (x86)\Hamster Soft\Hamster Free ZIP Archiver\Hamster.Archiver.UI.exe -loader



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт еще раз, но текстовой документ сохраните в кодировке Юникод. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Похожий контент

    • От BkmzCv
      Видел похожую тему, но если правильно понял, то нужно создать свою отдельную, так как настройки индивидуальные. 
      На компе появился зловред и большую часть файлов переименовал. 
      История событий. Примерно полтора часа назад в "моем компьюторе" стали видимыми системные диска А и В, при этом диски C, D и внешний жеский J оказались в общем доступе. Пользователь сразу отключил комп от сети, потом убрал общий доступ к дискам. После этого сказал мне, что большая часть файлов недоступна. 
      Ни в одной папке не оказалось файлика с требованиями, по этому его не могу добавить. Но за то в файле hostes появилась уйма сайтов, его на всякий случай тоже прилагаю. Сам файл вируса не смогли пока обнаружить. 
      Addition.txt FRST.txt host.txt Palto_03.jpg.id-744C1619.[openpgp@foxmail.com].zip
    • От shurban4ik
      возможно была попытка заражения компьютера шифровальщиком. из следов остался файлик пытаюсь понять вирус или не вирус.
      tempkey.teslarvngkeys
    • От bony_v
      здравствуйте, такая же проблема. зашифровались диски, поздно о,наружили, что завелась пакость. систему перегрузили, винда упала в синий экран смерти. переустановили виндовс на другой носитель, есть незагружающийся диск и файлы типа памятка.pdf[omegawatch@protonmail.com][fer].[B16BB075-0EB6059B] . данные не удаляли еще, но как запустить Farbar recovery FRST64 чтобы получить логи?
      по сути я запускаю на свежей, неповрежденной инфе и там нет упоминаний про вирус шифровальщик.
       
       
      FRST.zip
    • От 3594235
      Здравствуйте, помогите пожалуйста, omegawatch зашифровал все файлы. Прикладываю логи, папку с вирусом, файлы до и после шифровки.
      Спасибо.
       
      Строгое предупреждение от модератора thyrex Вредоносное вложение удалено Logy.zip файлы.zip
    • От r3d1
      Добрый день, требуется помощь, придя на работу обнаружили что какой-то другой пользователь подключен к ПК(тут же вытащили сетевой кабель), однако файлы находящиеся в общем доступе, частично были так же зашифрованы, вроде только на одном компьютере зашифровались файлы которые были не только в общем доступе, получается заражение было из него есть ли вероятность что вирус остался в сети? вот логи из этого компьютера, но на скриншоте видно какие угрозы были, однако файл 1pgp.exe был удален, который находился в папке одного из пользователей этого компьютера, а другой файл в карантине, при этом на компьютере установлен kaspersky endpoint, но на нем некоторые компоненты защиты оказались отключены.
      Предполагаем что залетело через RDP, потому что к компьютерам имеется удаленный доступ. Помогите понять остался ли вирус где то в сети, или же он был только с этого ПК? и как избавиться,? и передает ли по съемным носителям? судя по форумам шансов на дешифровку нет

      avz_log.txt CollectionLog-2020.07.02-17.07.zip report1.log report2.log
×
×
  • Создать...