Перейти к содержанию
krundik

Шифровальщик [activecrypt@aol.com].act

Рекомендуемые сообщения

CollectionLog-2020.05.18-12.27.zip

Шифровальщик зашифровал все файлы на ПК - добавил к названиям файлов текст".id-82C4D924.[activecrypt@aol.com].act"

вылез банер с требованием связаться по электронке activecrypt@aol.com или activecrypt@cock.li

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Несколько зашифрованных документов вместе с файлом FILES ENCRYPTED.txt упакуйте в архив и прикрепите к следующему сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тип вымогателя ориентировочно BitPyLock.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Слишком много администраторов. Проверьте все ли ваши:

Цитата

Admin (S-1-5-21-3528947245-626351562-1020717289-1000 - Administrator - Enabled) => C:\Users\Admin
DmitriyGarant1S (S-1-5-21-3528947245-626351562-1020717289-1023 - Administrator - Enabled) => C:\Users\DmitriyGarant1S
MANAGER2 (S-1-5-21-3528947245-626351562-1020717289-1019 - Administrator - Enabled) => C:\Users\Манагер2
Бухгалтер (S-1-5-21-3528947245-626351562-1020717289-1003 - Administrator - Enabled) => C:\Users\Бухгалтер
Главбух (S-1-5-21-3528947245-626351562-1020717289-1002 - Administrator - Enabled) => C:\Users\Главбух
Глазов1 (S-1-5-21-3528947245-626351562-1020717289-1027 - Administrator - Enabled) => C:\Users\Глазов1
Менеджер111 (S-1-5-21-3528947245-626351562-1020717289-1024 - Administrator - Enabled) => C:\Users\Менеджер111
 

 

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-17] () [File not signed]
    Startup: C:\Users\Главбух\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-17] () [File not signed]
    GroupPolicy\User: Restriction ? <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-3528947245-626351562-1020717289-1017\User: Restriction <==== ATTENTION
    Toolbar: HKU\S-1-5-21-3528947245-626351562-1020717289-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
    Toolbar: HKU\S-1-5-21-3528947245-626351562-1020717289-1000 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
    Toolbar: HKU\S-1-5-21-3528947245-626351562-1020717289-1003 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
    Toolbar: HKU\S-1-5-21-3528947245-626351562-1020717289-1019 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
    2020-05-17 01:21 - 2020-05-17 01:21 - 000007219 _____ C:\Windows\system32\Info.hta
    2020-05-17 01:21 - 2020-05-17 01:21 - 000007219 _____ C:\Users\Главбух\AppData\Roaming\Info.hta
    2020-05-17 01:21 - 2020-05-17 01:21 - 000000218 _____ C:\Users\Главбух\Desktop\FILES ENCRYPTED.txt
    2020-05-17 01:21 - 2020-05-17 01:21 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
    2020-05-17 01:21 - 2020-05-17 01:21 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2020-05-17 01:21 - 2020-05-17 01:21 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2020-05-17 01:21 - 2020-05-17 01:21 - 000000218 _____ C:\FILES ENCRYPTED.txt
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.