Перейти к содержанию

[БЕЗ РАСШИФРОВКИ] [reddragon000@protonmail.com_sel1] ibahjdfkmobr

wurgiz1
 Share Подписчики 0

Рекомендуемые сообщения

mike 1

mike 1 1 093

Опубликовано
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте! 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  

begin
 DeleteService('block_reader');
 DeleteService('WindowsDefend');
 StopService('WindowsDefend');
 TerminateProcessByName('c:\windows\fonts\w\wa\wahiver.exe');
 QuarantineFile('c:\windows\fonts\w\wa\wahiver.exe','');
 TerminateProcessByName('c:\windows\fonts\w\svchost.exe');
 QuarantineFile('c:\windows\fonts\w\svchost.exe','');
 DeleteFile('c:\windows\fonts\w\svchost.exe','32');
 DeleteFile('c:\windows\fonts\w\wa\wahiver.exe','32');
 DeleteFile('C:\Program Files (x86)\Multi Password Recovery\block_reader.sys','64');
ExecuteSysClean;
end.

 

Перезагрузите сервер. После перезагрузки компьютера выполните скрипт в АВЗ:

  

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 
 

Ссылка на сообщение
Поделиться на другие сайты
wurgiz1

wurgiz1 0

Опубликовано
  • Автор
Опубликовано

Mail delivery failed: returning message to sender

 

не могу отправить.

 

 

quarantine.zip на обменник скинул

 

А есть шансы на расшифровку ? ?

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

По расшифровке: необходимо уточнить в техподдержке, хотя шансов у Вас мало. 

 

Жду новые логи.  

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
HKLM-x32\...\Run: [1039582] => 1039582
HKU\S-1-5-21-3807818289-498084577-1622329469-1039\...\Run: [Costrip] => C:\Users\stas\AppData\Roaming\Costrip\python\pythonw.exe [95760 2019-07-08] (Python Software Foundation -> Python Software Foundation) <==== ATTENTION
Task: {19D0DA9B-6D8B-4469-8E30-41098DCC7709} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE
Task: {64B45457-F16F-438E-9974-7ADFF9D05C54} - System32\Tasks\Costrip => C:\Users\stas\AppData\Roaming\Costrip\python\pythonw.exe [95760 2019-07-08] (Python Software Foundation -> Python Software Foundation) <==== ATTENTION
Task: {8370556E-A609-429A-8072-48728D77DBBB} - System32\Tasks\Costrip2 => C:\Users\stas\AppData\Roaming\Costrip\python\pythonw.exe [95760 2019-07-08] (Python Software Foundation -> Python Software Foundation) <==== ATTENTION
Task: {C3833089-314B-467A-BC6C-C1B21E6D8D6C} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
Task: {08DFCA16-6BC3-4B49-A691-12EB761357D1} - System32\Tasks\WBadminBackupRestore => wbadmin [Argument = DELETE BACKUP -keepVersions:0]
Task: {D74317BD-5EF1-43BC-97F8-887834111B4D} - System32\Tasks\WBadminSystemRestore => wbadmin [Argument = DELETE SYSTEMSTATEBACKUP -keepVersions:0]
2020-04-03 10:19 - 2020-06-05 22:16 - 000000000 ____D C:\Users\Все пользователи\s1u25
2020-04-03 10:19 - 2020-06-05 22:16 - 000000000 ____D C:\Users\stas\AppData\Roaming\Costrip
2020-04-03 10:19 - 2020-06-05 22:16 - 000000000 ____D C:\ProgramData\s1u25

2020-04-09 14:32 - 2008-11-24 15:07 - 000636928 _____ (psLib) C:\Program Files\psBackup.exe
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Файлы зашифрованы с помощью Crylock версии 1.8.0.0. Не самая последняя версия, возможно смогут помочь в техподдержке. Пишите запрос 

 

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано (изменено)

Ответ дадут в течении нескольких рабочих дней. Если будет возможна расшифровка, то процесс ожидания может затянуться где-то до 4-5 рабочих дней. Версия 1.9 поддавалась расшифровке, а так сложно сказать, каждый случай индивидуален. 

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

В версии 1.8 пытаться сбрутить пароль тоже нереально. Слишком большая разбежка между двумя частями при генерации ключа может оказаться на современных процессорах.

Ссылка на сообщение
Поделиться на другие сайты
  • thyrex changed the title to [БЕЗ РАСШИФРОВКИ] [reddragon000@protonmail.com_sel1] ibahjdfkmobr
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • amurskiy
      шифровальщик graff_de_malfet@protonmail.ch
      От amurskiy
      26.12.2019 был взломан RDP. Пользователь не имел админских прав, но имел права на запись на один из NAS в сети. в результате были зашифрованы 600 Гб фоток. Взломанный сервер был зачищен и в последствии переустановлен. Видел темы что можно расшифровать файлы. Помогите пожалуйста. Во вложении зашифрованные файлы.
      2019.zip
    • aleksandrdes
      Cryakl CS 1.8.0.0.
      От aleksandrdes
      Файлы были зашифрованы с помощью шифровальщика семейства Cryakl версии CS 1.8.0.0. Зашифровали все важные документы, поймали через почту. Помогите подобрать ключи. Увидел что на форуме удалось подобрать ключи к более свежей версии - Cryakl  CS 1.9.0.0  Буду очень благодарен!
       
      Файл прикрепил в архиве

      Контакты злоумышленника:
      decrypt files ? write to omegawatch@protonmail.com
      or telegram: @helprestore
       
      Зашифрованный файл.rar
    • des1
      Поймали Cryakl [reddragon3335799@protonmail.ch_spec]
      От des1
      Добрый день!

      Недавно поймали Cryakl 1.8.0.0. Если возможность рассмотреть дешифровку файлов, если система уже развернута заново с бекапа. Логи FRST смысла наверное нет предоставлять? 

      Но проблема с файлами сетевого диска. 

      Спасибо.
      doc-2020-05-2915_55_25.pdf[reddragon3335799@protonmail.ch_spec][HA72K49C-KA627LEO].pjn
    • triadax
      Шифровальщик [reddragon000@protonmail.com]
      От triadax
      Здравствуйте. Нарвались на шифровальщика. Kaspersky был удален вирусом и все файлы включая ярлыки и программные файлы зашифрованы. Есть ли возможность восстановить данные?
      1C Предприятие.lnk[reddragon000@protonmail.com_sel1][654274708-1591832356].ibt
      CollectionLog-2020.06.12-10.12.zip
×
×
  • Создать...