crysis Шифровальщик [activecrypt@aol.com].act

18 мая, 2020

CollectionLog-2020.05.18-12.27.zip

Шифровальщик зашифровал все файлы на ПК - добавил к названиям файлов текст".id-82C4D924.[activecrypt@aol.com].act"

вылез банер с требованием связаться по электронке activecrypt@aol.com или activecrypt@cock.li

18 мая, 2020

FRST.rar

На всякий случай

18 мая, 2020

Здравствуйте!

Несколько зашифрованных документов вместе с файлом FILES ENCRYPTED.txt упакуйте в архив и прикрепите к следующему сообщению.

18 мая, 2020

FILES ENCRYPTED.rar

18 мая, 2020

Тип вымогателя ориентировочно BitPyLock.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Слишком много администраторов. Проверьте все ли ваши:

Цитата

Admin (S-1-5-21-3528947245-626351562-1020717289-1000 - Administrator - Enabled) => C:\Users\Admin
DmitriyGarant1S (S-1-5-21-3528947245-626351562-1020717289-1023 - Administrator - Enabled) => C:\Users\DmitriyGarant1S
MANAGER2 (S-1-5-21-3528947245-626351562-1020717289-1019 - Administrator - Enabled) => C:\Users\Манагер2
Бухгалтер (S-1-5-21-3528947245-626351562-1020717289-1003 - Administrator - Enabled) => C:\Users\Бухгалтер
Главбух (S-1-5-21-3528947245-626351562-1020717289-1002 - Administrator - Enabled) => C:\Users\Главбух
Глазов1 (S-1-5-21-3528947245-626351562-1020717289-1027 - Administrator - Enabled) => C:\Users\Глазов1
Менеджер111 (S-1-5-21-3528947245-626351562-1020717289-1024 - Administrator - Enabled) => C:\Users\Менеджер111

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-17] () [File not signed]
Startup: C:\Users\Главбух\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-17] () [File not signed]
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-3528947245-626351562-1020717289-1017\User: Restriction <==== ATTENTION
Toolbar: HKU\S-1-5-21-3528947245-626351562-1020717289-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
Toolbar: HKU\S-1-5-21-3528947245-626351562-1020717289-1000 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
Toolbar: HKU\S-1-5-21-3528947245-626351562-1020717289-1003 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
Toolbar: HKU\S-1-5-21-3528947245-626351562-1020717289-1019 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
2020-05-17 01:21 - 2020-05-17 01:21 - 000007219 _____ C:\Windows\system32\Info.hta
2020-05-17 01:21 - 2020-05-17 01:21 - 000007219 _____ C:\Users\Главбух\AppData\Roaming\Info.hta
2020-05-17 01:21 - 2020-05-17 01:21 - 000000218 _____ C:\Users\Главбух\Desktop\FILES ENCRYPTED.txt
2020-05-17 01:21 - 2020-05-17 01:21 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-05-17 01:21 - 2020-05-17 01:21 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-05-17 01:21 - 2020-05-17 01:21 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-05-17 01:21 - 2020-05-17 01:21 - 000000218 _____ C:\FILES ENCRYPTED.txt
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

1 июня, 2020

Fixlog.txt

1 июня, 2020

Если будете создавать запрос в ТП, до окончания не удаляйте папку C:\FRST

crysis Шифровальщик [activecrypt@aol.com].act

Рекомендуемые сообщения

krundik

krundik

Sandor

krundik

Sandor

krundik

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum