Перейти к содержанию

Шифровальщик [activecrypt@aol.com].act


Рекомендуемые сообщения

CollectionLog-2020.05.18-12.27.zip

Шифровальщик зашифровал все файлы на ПК - добавил к названиям файлов текст".id-82C4D924.[activecrypt@aol.com].act"

вылез банер с требованием связаться по электронке activecrypt@aol.com или activecrypt@cock.li

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Несколько зашифрованных документов вместе с файлом FILES ENCRYPTED.txt упакуйте в архив и прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Тип вымогателя ориентировочно BitPyLock.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Слишком много администраторов. Проверьте все ли ваши:

Цитата

Admin (S-1-5-21-3528947245-626351562-1020717289-1000 - Administrator - Enabled) => C:\Users\Admin
DmitriyGarant1S (S-1-5-21-3528947245-626351562-1020717289-1023 - Administrator - Enabled) => C:\Users\DmitriyGarant1S
MANAGER2 (S-1-5-21-3528947245-626351562-1020717289-1019 - Administrator - Enabled) => C:\Users\Манагер2
Бухгалтер (S-1-5-21-3528947245-626351562-1020717289-1003 - Administrator - Enabled) => C:\Users\Бухгалтер
Главбух (S-1-5-21-3528947245-626351562-1020717289-1002 - Administrator - Enabled) => C:\Users\Главбух
Глазов1 (S-1-5-21-3528947245-626351562-1020717289-1027 - Administrator - Enabled) => C:\Users\Глазов1
Менеджер111 (S-1-5-21-3528947245-626351562-1020717289-1024 - Administrator - Enabled) => C:\Users\Менеджер111
 

 

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-17] () [File not signed]
    Startup: C:\Users\Главбух\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-17] () [File not signed]
    GroupPolicy\User: Restriction ? <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-3528947245-626351562-1020717289-1017\User: Restriction <==== ATTENTION
    Toolbar: HKU\S-1-5-21-3528947245-626351562-1020717289-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
    Toolbar: HKU\S-1-5-21-3528947245-626351562-1020717289-1000 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
    Toolbar: HKU\S-1-5-21-3528947245-626351562-1020717289-1003 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
    Toolbar: HKU\S-1-5-21-3528947245-626351562-1020717289-1019 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
    2020-05-17 01:21 - 2020-05-17 01:21 - 000007219 _____ C:\Windows\system32\Info.hta
    2020-05-17 01:21 - 2020-05-17 01:21 - 000007219 _____ C:\Users\Главбух\AppData\Roaming\Info.hta
    2020-05-17 01:21 - 2020-05-17 01:21 - 000000218 _____ C:\Users\Главбух\Desktop\FILES ENCRYPTED.txt
    2020-05-17 01:21 - 2020-05-17 01:21 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
    2020-05-17 01:21 - 2020-05-17 01:21 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2020-05-17 01:21 - 2020-05-17 01:21 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2020-05-17 01:21 - 2020-05-17 01:21 - 000000218 _____ C:\FILES ENCRYPTED.txt
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

  • 2 недели спустя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KOMK
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • darksimpson
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
    • Игорь_Белов
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
    • Albina
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • __Михаил__
      Автор __Михаил__
      Добрый! 
      Пожалуйста, помогите расшифровать файлы на компьютере.
      Шифровальщик IxehUe8Rg.
      Файлы образцы и требование выкупа во вложении.
      Анализ_2.xlsx.rar
       
      Я так понимаю это CriptomanGizmo и с ним проблема.
      У меня есть несколько копий файлов не зашифрованных , с другого устройства.
      Может это поможет?
×
×
  • Создать...