Перейти к содержанию

Рекомендуемые сообщения

На компьютере появился шифровальщик.
Файлы на компьютере приобрели расширение ncov 
На экране появляется сообщение 

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail 3441546223@qq.com
Write this ID in the title of your message 4E44B38D
In case of no answer in 24 hours write us to theese e-mails:3441546223@qq.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
  • Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
Attention!
  • Do not rename encrypted files.
  • Do not try to decrypt your data using third party software, it may cause permanent data loss.
  • Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

ncov.png

CollectionLog-2020.05.18-14.59.zip

Изменено пользователем Freimann
Добавление файлов
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

Addition.txt FRST.txt В текущей версии программы нет чекбокса Drivers MD5,программа запускалась на следующих настройках.
image.thumb.png.eecf064292215b79711eb435045cef03.png

Изменено пользователем Freimann
дополнительная информация
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    
    HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13916 2020-05-17] () [File not signed]
    HKLM\...\Run: [C:\Users\1\AppData\Roaming\Info.hta] => C:\Users\1\AppData\Roaming\Info.hta [13916 2020-05-17] () [File not signed]
    Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-17] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-17] () [File not signed]
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://us.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_moprogmdlm_18_17_dopc&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dru%26pa%3Dwinyahoo%26cd%3D2XzuyEtN2Y1L1QzuyE0C0C0CyC0A0F0FyE0FtA0B0BtAzz0DtN0D0Tzu0StBtAtDzytN1L2XzuyEtFtByEtFtDtFyBtBtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2SyDzy0C0FyB0E0DtBtGtCtBzzzytGtA0BzyyDtGtB0E0E0CtGyBtD0A0EyE0EtB0CtB0DyCzz2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1OyDzy1Ozyzy1SyDtGyCyEtDyDtGyEtB1OtBtG1StAtB1QtGyEyEtAtDtDzy1Q1T1OzytC1O2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyBtCzztBtN1Q2Z1B1P1RzutCyDtByEzytDyCyEtBtC%26cr%3D1673734064%26a%3Dwny_moprogmdlm_18_17_dopc%26os_ver%3D10.0%26os%3DWindows%2B10%2BPro
    2020-05-17 11:24 - 2020-05-17 11:24 - 000013916 _____ C:\WINDOWS\system32\Info.hta
    2020-05-17 11:24 - 2020-05-17 11:24 - 000013916 _____ C:\Users\1\AppData\Roaming\Info.hta
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на сообщение
Поделиться на другие сайты

Смените все пароли. Подключение по RDP к компьютеру рекомендуется организовать только через корпоративный VPN. 

 

Пишите запрос https://forum.kasperskyclub.ru/topic/48525-создание-запроса-на-расшифровку-файлов-в-лабораторию-касперского/

Ссылка на сообщение
Поделиться на другие сайты

\Привет всем. Вчера "приобрел" этого шифровальщика.просле сканированя и написания скрипта что нужно сделать? файлы восстановятся?

 

Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Пострадавший от NCOV сказал:

\Привет всем. Вчера "приобрел" этого шифровальщика.просле сканированя и написания скрипта что нужно сделать? файлы восстановятся?

Здравствуйте!

 

Не влезайте в чужую тему, создайте свою и выполните Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От VitProff
      Здравствуйте!
      Обращаюсь за помощью по расшифровке файлов базы данных 1С после шифровальщика.
      Расширение шифрованных файлов [yourfiles1@cock.li].NOV
       
      Пожалуйста помогите если есть возможность расшифровать.
    • От Ливерпуль
      Добрый день!
      25.02.21 в 2 часа ночи произошло шифрование документов и баз 1С на сервере. Скорее всего был подобран пароль через RDP.
      Шифрование произошло под пользователем. Учетная запись админа в порядке. Картинки с требованиями не видел, черный экран при входе под пользователем.
      Спасибо за любую помощь!
       
      Addition.txt FRST.txt Docum.rar virus.rar
    • От belokuriha
      Добрый день. Очень сильно нужна помощь . Сегодня с утра включил компьютер , и обнаружил что все файлы были зашифрованы . Висит табличка с указанием сколько нужно денег и какой адрес слать .
       
      Попробовал утилитку RakhniDecryptor , к сожалению она сказала что не знает такие файлы. Подскажите как я могу расшифровать , хотя бы  базы и часть сайта нужно забрать с диска.
    • От Петя696
      тоже поймали шифровальщика carbanak@aol.com, 1 сервер расшифровали, а остальные после перевода денег просто перестали отвечать, ПРИЗЫВАЮ НИ ВКОЕМ СЛУЧАЕ НЕ ПЛАТИТЬ carbanak@aol.com!
      Также может получится сделать дешифратор, во вложении находится сам вирус и архив с обработкой расшифровки и 2 файла до и после.
      В обработке нажимаем скан, получаем код запроса, отправляем злодею и в ответ получаем код на разблокировку. Прошу по возможности помочь, осталось порядка 10 компов зашифровано
       
      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/topic/80191-pomoshh-s-shifrovalshhikom-securemilleni5000qqcomid-e6c57c30carbanakaolcom/  
      ВИРУС.7z зашифровано.7z
    • От Technodancer123
      Пойман шифровальщик. зашифрованы не все данные на сервере, а лишь часть. На системном диске в профилях пользователя все файлы целы, а вот на втором жестком диске, где находились базы 1с, офисные документы и бекапы баз(сделанные veeam agent) - они зашифрованные. Оканчивается зашифрованные файлы на:
      ".secure[milleni5000@qq.com].id-E6C57C30.[carbanak@aol.com]", а некоторые на более короткий вариант ".id-E6C57C30.[carbanak@aol.com]"
      Тип файла: Файл "PAUQ" (.pauq)
      Требования.7z
      Прикладываю файлы с требованиями и два зараженных файла два зараженных файла.7zFRST.txt
      а так же логи из программы
      Просьба оказать помощь, подсказать как поступить, что делать.
      Addition.txt
×
×
  • Создать...