Перейти к содержанию

[БЕЗ РАСШИФРОВКИ] [reddragon000@protonmail.com_sel1] ibahjdfkmobr

wurgiz1
 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте! 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  

begin
 DeleteService('block_reader');
 DeleteService('WindowsDefend');
 StopService('WindowsDefend');
 TerminateProcessByName('c:\windows\fonts\w\wa\wahiver.exe');
 QuarantineFile('c:\windows\fonts\w\wa\wahiver.exe','');
 TerminateProcessByName('c:\windows\fonts\w\svchost.exe');
 QuarantineFile('c:\windows\fonts\w\svchost.exe','');
 DeleteFile('c:\windows\fonts\w\svchost.exe','32');
 DeleteFile('c:\windows\fonts\w\wa\wahiver.exe','32');
 DeleteFile('C:\Program Files (x86)\Multi Password Recovery\block_reader.sys','64');
ExecuteSysClean;
end.

 

Перезагрузите сервер. После перезагрузки компьютера выполните скрипт в АВЗ:

  

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 
 

wurgiz1

wurgiz1

Опубликовано
  • Автор
Опубликовано

Mail delivery failed: returning message to sender

 

не могу отправить.

 

 

quarantine.zip на обменник скинул

 

А есть шансы на расшифровку ? ?

mike 1

mike 1

Опубликовано
Опубликовано

По расшифровке: необходимо уточнить в техподдержке, хотя шансов у Вас мало. 

 

Жду новые логи.  

mike 1

mike 1

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
mike 1

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
HKLM-x32\...\Run: [1039582] => 1039582
HKU\S-1-5-21-3807818289-498084577-1622329469-1039\...\Run: [Costrip] => C:\Users\stas\AppData\Roaming\Costrip\python\pythonw.exe [95760 2019-07-08] (Python Software Foundation -> Python Software Foundation) <==== ATTENTION
Task: {19D0DA9B-6D8B-4469-8E30-41098DCC7709} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE
Task: {64B45457-F16F-438E-9974-7ADFF9D05C54} - System32\Tasks\Costrip => C:\Users\stas\AppData\Roaming\Costrip\python\pythonw.exe [95760 2019-07-08] (Python Software Foundation -> Python Software Foundation) <==== ATTENTION
Task: {8370556E-A609-429A-8072-48728D77DBBB} - System32\Tasks\Costrip2 => C:\Users\stas\AppData\Roaming\Costrip\python\pythonw.exe [95760 2019-07-08] (Python Software Foundation -> Python Software Foundation) <==== ATTENTION
Task: {C3833089-314B-467A-BC6C-C1B21E6D8D6C} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
Task: {08DFCA16-6BC3-4B49-A691-12EB761357D1} - System32\Tasks\WBadminBackupRestore => wbadmin [Argument = DELETE BACKUP -keepVersions:0]
Task: {D74317BD-5EF1-43BC-97F8-887834111B4D} - System32\Tasks\WBadminSystemRestore => wbadmin [Argument = DELETE SYSTEMSTATEBACKUP -keepVersions:0]
2020-04-03 10:19 - 2020-06-05 22:16 - 000000000 ____D C:\Users\Все пользователи\s1u25
2020-04-03 10:19 - 2020-06-05 22:16 - 000000000 ____D C:\Users\stas\AppData\Roaming\Costrip
2020-04-03 10:19 - 2020-06-05 22:16 - 000000000 ____D C:\ProgramData\s1u25

2020-04-09 14:32 - 2008-11-24 15:07 - 000636928 _____ (psLib) C:\Program Files\psBackup.exe
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

mike 1

mike 1

Опубликовано
Опубликовано

Файлы зашифрованы с помощью Crylock версии 1.8.0.0. Не самая последняя версия, возможно смогут помочь в техподдержке. Пишите запрос 

 

wurgiz1

wurgiz1

Опубликовано
  • Автор
Опубликовано

Спасибо!!! А по Вашему опыту это долго будет и насколько шансы велики? 

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Ответ дадут в течении нескольких рабочих дней. Если будет возможна расшифровка, то процесс ожидания может затянуться где-то до 4-5 рабочих дней. Версия 1.9 поддавалась расшифровке, а так сложно сказать, каждый случай индивидуален. 

Изменено пользователем mike 1
thyrex

thyrex

Опубликовано
Опубликовано

В версии 1.8 пытаться сбрутить пароль тоже нереально. Слишком большая разбежка между двумя частями при генерации ключа может оказаться на современных процессорах.

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Tappa
      Петя расшифровка
      Автор Tappa
      Помогите расшифровать ключ 

    • slavel94
      Расшифровка kwx8
      Автор slavel94
      Здравствуйте! Словил шифроватор Mimik, в итоге файлы зашифровались с расширением kwx8. Помогите, пожалуйста
      report_2025.03.23_17.06.42.klr.rar
    • Hendehog
      Расшифровка Отчета
      Автор Hendehog
      Добрый день.
      Коллеги можете расшифровать, что это за вирус, какого типа, и как он мог проникнуть в систему?
      У нас через него пытались крупную сумму через банк увести, в этот момент пользователю на экране показывали якобы обновление винды идет...))
      Файл KVRT DATA приложить полный не могу, если надо загружу на яндекс диск.
      Спасибо.
      Reports.rar
    • KIART
      Есть ли решения для расшифровки
      Автор KIART
      Добрый день! 11.07.24 мой сервер атаковал вирус-шифровальщик. При включении сервера появляется текст от злоумышленников с требованием перевести биткоины в замен на ключ для расшифровки. Сейчас необходимый файл бэкап вяглядит так: Resto.bak.gz.ELPACO-team. Обращался в две организации, которые занимаются расшифровкой, обе ответили что расшифровать не могут, тип шифрования новый, решения пока нет. Подскажите, сталкивался ли кто-то недавно с такой проблемой, может уже есть неопубликованное решение? 
    • АлексейСв
      помощь в расшифровке
      Автор АлексейСв
      доброго времени суток. кто-нибудь может помочь с расшифровкой после шифровальщика? 
×
×
  • Создать...