Перейти к содержанию
azlk

[РЕШЕНО] Все ваши файлы зашифрованы! К расшырению файлов добавилось .sivtyfuh332kgayz.onion@mail

Рекомендуемые сообщения

Привет!

 

На компьютере зашифровано много файлов.

В каждой папке на компьютере появился html файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ" следующего содержания:

 

 

Ваш ID:9F2381C0___anyutka"

 

Все ваши файлы зашифрованы!

Все ваши документы, фотографии, базы данных и другие файлы были зашифрованы криптостойким алгоритмом с уникальным для вашего ПК ключом.

Расшифровать файлы можно только имея уникальный пароль для вашего ПК, другими способами расшифровать файлы невозможно!

Инструкция по расшифровке файлов:

1. Скачайте, установите и запустите Tor Browser по ссылке - https://www.torproject.org/dist/torbrowser/4.5/torbrowser-install-4.5_ru.exe (https://www.torproject.org/)

2. Запустив Tor браузер зайдите через него на страницу - http://sivtyfuh332kgayz.onion/

3. Следуйте инструкции на сайте

 

 

P.S. Ранее была схожая тема, но ссылки в ней устарели - https://forum.kasperskyclub.ru/index.php?showtopic=46292

P.S.S. Во вложении результаты сборщика логов.

CollectionLog-2020.01.03-23.41.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Интересно, где такое старье можно было поймать.

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!


  • Временно выгрузите антивирус, файрволл и прочее защитное ПО


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2796901885-2828084496-3065783459-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:Tabs
HKU\S-1-5-21-2796901885-2828084496-3065783459-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.smaxl.net
SearchScopes: HKU\S-1-5-21-2796901885-2828084496-3065783459-1000 -> {1F096B29-E9DA-4D64-8D63-936BE7762CC5} URL = hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=388a07af0000000000000016eb1e8eba&tlver=1.4.19.19&affID=17160
BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik_x64.dll [2010-12-19] (LLC Mail.Ru -> @Mail.Ru)
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKLM - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik_x64.dll [2010-12-19] (LLC Mail.Ru -> @Mail.Ru)
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2796901885-2828084496-3065783459-1000 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik_x64.dll [2010-12-19] (LLC Mail.Ru -> @Mail.Ru)
C:\Users\Анютка\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
S4 McAfee SiteAdvisor Service; c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe [X]
2012-05-03 19:12 - 2012-05-03 19:12 - 000000025 _____ () C:\Users\Анютка\AppData\Roaming\bdfvconp.ini
2010-05-28 12:54 - 2010-05-28 12:54 - 000000000 _____ () C:\Users\Анютка\AppData\Roaming\wklnhst.dat
2015-05-05 17:40 - 2015-05-05 17:32 - 000001151 _____ () C:\Users\Анютка\AppData\Roaming\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-05-05 17:40 - 2015-05-05 17:32 - 000001151 _____ () C:\Users\Анютка\AppData\Roaming\Microsoft\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-05-05 17:38 - 2015-05-05 17:32 - 000001151 _____ () C:\Users\Анютка\AppData\Local\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
MSCONFIG\startupreg: HFALoader => C:\Program Files (x86)\Hamster Soft\Hamster Free ZIP Archiver\Hamster.Archiver.UI.exe -loader



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт еще раз, но текстовой документ сохраните в кодировке Юникод. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Похожий контент

    • От 3594235
      Здравствуйте, помогите пожалуйста, omegawatch зашифровал все файлы. Прикладываю логи, папку с вирусом, файлы до и после шифровки.
      Спасибо.
       
      Строгое предупреждение от модератора thyrex Вредоносное вложение удалено Logy.zip файлы.zip
    • От r3d1
      Добрый день, требуется помощь, придя на работу обнаружили что какой-то другой пользователь подключен к ПК(тут же вытащили сетевой кабель), однако файлы находящиеся в общем доступе, частично были так же зашифрованы, вроде только на одном компьютере зашифровались файлы которые были не только в общем доступе, получается заражение было из него есть ли вероятность что вирус остался в сети? вот логи из этого компьютера, но на скриншоте видно какие угрозы были, однако файл 1pgp.exe был удален, который находился в папке одного из пользователей этого компьютера, а другой файл в карантине, при этом на компьютере установлен kaspersky endpoint, но на нем некоторые компоненты защиты оказались отключены.
      Предполагаем что залетело через RDP, потому что к компьютерам имеется удаленный доступ. Помогите понять остался ли вирус где то в сети, или же он был только с этого ПК? и как избавиться,? и передает ли по съемным носителям? судя по форумам шансов на дешифровку нет

      avz_log.txt CollectionLog-2020.07.02-17.07.zip report1.log report2.log
    • От Alex172
      Добрый день,  на сервере завелся шифровальщик.
      В каждом диске создал txt файл с текстом:
      all your data has been locked us
      You want to return?
      Write email Dharm727@gmx.de or Dharm727@protonmail.com
       
      После лечения диском помощи винда не грузится.
      утилита удалила записи в реестре и файл C:\Windows\system32\1DVBG7_payload.exe как описано в закрытой теме  https://forum.kasperskyclub.ru/topic/65394-resheno-shifrovalschik-harma/
    • От toser1
      Здравствуйте, Всем.
      01.06 В сеть проник шифровальщик через RDP и зашифровал файлы, теперь фалы имеют расширение  - *.docx[reddragon000@protonmail.ch][sel2].[E63DB329-1C4639E4] и так далее. Пострадало несколько ПК хотелось бы узнать есть какое решение этой проблемы. Заранее СПАСИБО.   
      Необходимые файлы прикрепил.
      CollectionLog-2020.06.10-12.53.zip Карты по бензину.docx[reddragon000@protonmail.ch][sel2].[E63DB329-1C4639E4].zip
    • От BkmzCv
      Несколько компьютеров в сети пострадали от действия шифровальщика. На компьютерах настроены общие папки и все файлы в этих папках теперь зашифрованы. Файлы теперь называются так "Расшифровка_коммунальные - Смарт.xlsx.[servicemanager@yahooweb.co].coka" Выделил красным то, что дописал шифровальщик.
      Комп источник я думаю выявил, так как один из компьютеров не смогли включить, так как пароль на вход в систему перестал подходить. Создал загрузочную флешку с линуксом, зашел на жеский и там практически все файлы зашифрованы. Так как не могу попасть на комп источник, то соотвественно не понимаю, как мне приложить хоть какие то логи. 
      В каждой паке кроме того появился дополнительный файлик с таким текстом
       
       
      Прикрепил архив с примером зашифрованного файла и оригинал (на одном из компов делался постоянный бэкап). Что ещё приложить не знаю.
      Расшифровка_коммунальные - Смарт.xlsx.[servicemanager@yahooweb.co].zip Расшифровка_коммунальные - Смарт.zip
×
×
  • Создать...