Перейти к содержанию

Рекомендуемые сообщения

Андрей Журавлев
Опубликовано (изменено)

 

Добрый день, помогите справится с шифровальшиком. Все файлы зашифрованы, после файла добавлено расширение id-04908180.[supp37@cock.li].wrar

 

Также сообщение

 

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail supp37@cock.li
Write this ID in the title of your message 04908180
In case of no answer in 24 hours write us to theese e-mails:supp37@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 

 

 

Добрый день, помогите справится с шифровальшиком. Все файлы зашифрованы, после файла добавлено расширение id-04908180.[supp37@cock.li].wrar

 

Также сообщение

 

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail supp37@cock.li
Write this ID in the title of your message 04908180
In case of no answer in 24 hours write us to theese e-mails:supp37@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 

Прикрепляю логи  Farbar

FRST.rar

FRST.rar

Изменено пользователем Андрей Журавлев
Опубликовано

C:\Users\Администратор\AppData\Roaming\xxx.exe заархивируйте в zip-архив с паролем virus (в имени архива не должно быть символов кириллицы) и загрузите архив по ссылке https://virusinfo.info/upload_virus.php?tid=37678

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [xxx.exe] => C:\Users\Администратор\AppData\Roaming\xxx.exe [94720 2020-01-26] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13904 2020-01-26] () [File not signed]
HKLM\...\Run: [C:\Users\Наталья\AppData\Roaming\Info.hta] => C:\Users\Наталья\AppData\Roaming\Info.hta [13904 2020-01-25] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13904 2020-01-26] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-26] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe [2020-01-26] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-26] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe [2020-01-26] () [File not signed]
Startup: C:\Users\Наталья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-25] () [File not signed]
Startup: C:\Users\Наталья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe [2020-01-25] () [File not signed]
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy-x32: Restriction - Chrome <==== ATTENTION
C:\Users\Наталья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe
C:\Users\Администратор\AppData\Roaming\xxx.exe
Task: {5C715C86-11F9-4FA6-9C89-8688B10172A1} - \KMSAutoNet -> No File <==== ATTENTION
Task: {5D825102-6066-4A7E-86DA-1FA20A42E2AC} - System32\Tasks\GoogleUpdateTaskMachineLS => C:\Users\Наталья\AppData\Roaming\Oracle\Secure\9989F31B-1ED9-41F3-8AC1-7CBE6415C30E\javsecc.exe <==== ATTENTION
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~1\MICROS~1\Office14\URLREDIR.DLL => No File
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL => No File
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL => No File
BHO-x32: No Name -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3793888213-1153031230-1610408190-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll No File
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL No File
SearchScopes: HKU\S-1-5-21-3793888213-1153031230-1610408190-500 -> A6971567146397A37C6BB2C0A182CEDE URL = hxxp://websearch.ask.com/redirect?client=ie&tb=FXTV5&o=&src=crm&q={searchTerms}&locale=
2020-01-26 09:27 - 2020-01-26 09:27 - 000013904 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2020-01-26 09:27 - 2020-01-26 09:27 - 000000162 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
2020-01-25 03:29 - 2020-01-26 09:27 - 000013904 _____ C:\Windows\system32\Info.hta
2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\FILES ENCRYPTED.txt
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютеранужно выполнить вручную после данного скрипта.
Опубликовано

C:\Users\Администратор\AppData\Roaming\xxx.exe заархивируйте в zip-архив с паролем virus (в имени архива не должно быть символов кириллицы) и загрузите архив по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Это я сам с собой поговорил?

 

С расшифровкой помочь не сможем.

Андрей Журавлев
Опубликовано

  C:\Users\Администратор\AppData\Roaming\xxx.exe
файл найти не могу


  C:\Users\Администратор\AppData\Roaming\xxx.exe
файл найти не могу


  C:\Users\Администратор\AppData\Roaming\xxx.exe
файл найти не могу

Опубликовано

После выполнения скрипта его искать в системе уже бесполезно. Потому и нужно было выполнять рекомендации в том порядке, как они выдавались.

Андрей Журавлев
Опубликовано

После выполнения скрипта его искать в системе уже бесполезно. Потому и нужно было выполнять рекомендации в том порядке, как они выдавались.

Добрый день, файл нашли в удаленных копиях. Восстановили и загрузили архив по ссылке https://virusinfo.in...s.php?tid=37678

Андрей Журавлев
Опубликовано

Скажите пожалуйста, вы сможете мне помочь?

Опубликовано

Выше я уже писал

 


С расшифровкой помочь не сможем.
Расшифровки нет ни у одной антивирусной компании.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • st0rk
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...