Перейти к содержанию

Шифровальщик tutanota.com

Danil-sh
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Это Unlock92 2.0, к сожалению, расшифровки нет.

Для верности создайте запрос.

 

"Пофиксите" в HijackThis:

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\laeahlnomupvnyy.txt
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\siikjlwggxnqvye.txt
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\sqxjotugnbohyby.txt
O4 - Startup other users: C:\Users\danil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\siikjlwggxnqvye.txt
O4 - Startup other users: C:\Users\danil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqxjotugnbohyby.txt
O4 - Startup other users: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\siikjlwggxnqvye.txt
O4 - Startup other users: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqxjotugnbohyby.txt
O4 - Startup other users: C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\siikjlwggxnqvye.txt
O4 - Startup other users: C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqxjotugnbohyby.txt
O4 - Startup other users: C:\Users\user3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\siikjlwggxnqvye.txt
O4 - Startup other users: C:\Users\user3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqxjotugnbohyby.txt
O4 - Startup other users: C:\Users\user4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\siikjlwggxnqvye.txt
O4 - Startup other users: C:\Users\user4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqxjotugnbohyby.txt
O4 - Startup other users: C:\Users\user5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\siikjlwggxnqvye.txt
O4 - Startup other users: C:\Users\user5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqxjotugnbohyby.txt
O4 - User Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\siikjlwggxnqvye.txt
O4 - User Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqxjotugnbohyby.txt
O20-32 - HKLM\..\Winlogon\Notify\ScCertProp  : [DllName] = (no file)
Перезагрузите компьютер и соберите свежий CollectionLog.
Sandor

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Danil-sh

Danil-sh

Опубликовано
  • Автор
Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

готово

SecurityCheck.txt

Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз

Internet Explorer 11.0.9600.19035 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Восстановление системы отключено

------------------------------- [ HotFix ] --------------------------------

HotFix KB3125574 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4499175 Внимание! Скачать обновления

HotFix KB4490628 Внимание! Скачать обновления

HotFix KB4512486 Внимание! Скачать обновления

HotFix KB4534310 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления

Microsoft Office Стандартный 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

Microsoft Office Standard 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

-------------------------------- [ Arch ] ---------------------------------

WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader XI - Russian v.11.0.00 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

 

 

Перечисленное желательно всё выполнить, особенно хотфиксы.

 

Читайте Рекомендации после удаления вредоносного ПО

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Vlad21
      Вирус-шифровальщик @tutanota.com
      Автор Vlad21
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том А на диске, там 2 файла: bootsect.bak и scream.txt. В scream.txt содержание такое: 
                    ~~~ Scream V1.1~~~            
      >>> What happened?
          We encrypted and stolen all of your files.
          We use AES and ECC algorithms.
          Nobody can recover your files without our decryption service.
      >>> How to recover?
          We are not a politically motivated group and we want nothing more than money.
          If you pay, we will provide you with decryption software and destroy the stolen data.
      >>> What guarantees?
          You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
          If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.
      >>> How to contact us?
         Our email address: Scream_@tutanota.com
         In case of no answer within 24 hours, contact to this email: De_Scream@tutanota.com
         Write your personal ID in the subject of the email.
      >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
                              >>>>> SCREAM 1.1 <<<<<
      >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
      >>> Warnings!
        - Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
         They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.
        - Do not hesitate for a long time. The faster you pay, the lower the price.
        - Do not delete or modify encrypted files, it will lead to problems with decryption of files.
      Подскажите, пожалуйста, что делать?
      Данных как-будто нет. 
      Заранее спасибо!
       
    • Ser25
      Шифровальщик
      Автор Ser25
      Взломали пароль и зашифровали удаленный комп. Пока ничего не предпринимал
      20250507.7z
    • Пользователь 1551
      Шифровальщик
      Автор Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Thunderer
      Шифровальщик
      Автор Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Сергей_00
      шифровальщик
      Автор Сергей_00
      Добрый день!
      Сегодня шифровальщик зашифровал большую часть нужных файлов, благо выключили компьютер из розетки...
      В результате остались файлы в папке запуска подозрительного файла   svhostss.exe, а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe
      следующие файлы:
      Everything.db
      Everything32.dll
      Everything64.dll
      session.tmp
      svhostss.exe
       
      быть может есть возможность дешифровать данные? 
×
×
  • Создать...