crysis Шифровальщик 3441546223@qq.com

18 мая, 2020

На компьютере появился шифровальщик.
Файлы на компьютере приобрели расширение ncov
На экране появляется сообщение

All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail 3441546223@qq.com

Write this ID in the title of your message 4E44B38D

In case of no answer in 24 hours write us to theese e-mails:3441546223@qq.com

You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.

Free decryption as guarantee

Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!

Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

CollectionLog-2020.05.18-14.59.zip

Изменено 18 мая, 2020 пользователем Freimann
Добавление файлов

19 мая, 2020

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

20 мая, 2020

Addition.txt FRST.txt В текущей версии программы нет чекбокса Drivers MD5,программа запускалась на следующих настройках.

Изменено 20 мая, 2020 пользователем Freimann
дополнительная информация

20 мая, 2020

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:

HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13916 2020-05-17] () [File not signed]
HKLM\...\Run: [C:\Users\1\AppData\Roaming\Info.hta] => C:\Users\1\AppData\Roaming\Info.hta [13916 2020-05-17] () [File not signed]
Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-17] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-17] () [File not signed]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://us.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_moprogmdlm_18_17_dopc&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dru%26pa%3Dwinyahoo%26cd%3D2XzuyEtN2Y1L1QzuyE0C0C0CyC0A0F0FyE0FtA0B0BtAzz0DtN0D0Tzu0StBtAtDzytN1L2XzuyEtFtByEtFtDtFyBtBtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2SyDzy0C0FyB0E0DtBtGtCtBzzzytGtA0BzyyDtGtB0E0E0CtGyBtD0A0EyE0EtB0CtB0DyCzz2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1OyDzy1Ozyzy1SyDtGyCyEtDyDtGyEtB1OtBtG1StAtB1QtGyEyEtAtDtDzy1Q1T1OzytC1O2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyBtCzztBtN1Q2Z1B1P1RzutCyDtByEzytDyCyEtBtC%26cr%3D1673734064%26a%3Dwny_moprogmdlm_18_17_dopc%26os_ver%3D10.0%26os%3DWindows%2B10%2BPro
2020-05-17 11:24 - 2020-05-17 11:24 - 000013916 _____ C:\WINDOWS\system32\Info.hta
2020-05-17 11:24 - 2020-05-17 11:24 - 000013916 _____ C:\Users\1\AppData\Roaming\Info.hta

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

20 мая, 2020

Fixlog.txt

20 мая, 2020

Смените все пароли. Подключение по RDP к компьютеру рекомендуется организовать только через корпоративный VPN.

Пишите запрос https://forum.kasperskyclub.ru/topic/48525-создание-запроса-на-расшифровку-файлов-в-лабораторию-касперского/

22 мая, 2020

\Привет всем. Вчера "приобрел" этого шифровальщика.просле сканированя и написания скрипта что нужно сделать? файлы восстановятся?

Addition.txt

22 мая, 2020

3 часа назад, Пострадавший от NCOV сказал:

\Привет всем. Вчера "приобрел" этого шифровальщика.просле сканированя и написания скрипта что нужно сделать? файлы восстановятся?

Здравствуйте!

Не влезайте в чужую тему, создайте свою и выполните Порядок оформления запроса о помощи

crysis Шифровальщик 3441546223@qq.com

Рекомендуемые сообщения

Freimann

mike 1

Freimann

mike 1

Freimann

mike 1

Пострадавший от NCOV

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum