Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

 

Вирус-шифровальщик зашифровал все файлы на сервере 1С, контроллере домена и рабочих машинах в домене. Остановил MS SQL сервер и зашифровал файлы баз данных. Удалил все log-файлы.

 

Оставил сообщение:

"All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Smith1@mailfence.com
Write this ID in the title of your message 0AA58CDB
In case of no answer in 24 hours write us to theese e-mails:fun63s@protonmail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files."

 

Зашифровал даже не значимые файлы типа:

desktop.ini.id-9C15C2BB.[dr.crypt@aol.com].NWA.id-9C15C2BB.[Smith1@mailfence.com].Aim


 

Ссылка на сообщение
Поделиться на другие сайты

Добрый день!

 

Прошу извинить, что не прикрепил логи проверки согласно Порядка оформления запроса о помощи.

Прикрепляю их в этом сообщении.

CollectionLog-2020.08.18-13.00.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте, зашифровано с помощью шифровальщика crysis.

 

Пофиксите следующие строчки в HiJackThis.

 

O4 - HKLM\..\Run: [svchost.exe] = C:\Users\Администратор\AppData\Roaming\svchost.exe  (file missing)
O26 - Debugger: HKLM\..\taskmgr.exe: [Debugger] = Hotkey Disabled (file missing)

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png

 

Ссылка на сообщение
Поделиться на другие сайты

Добрый день!

 

Большое спасибо за поддержку!

 

Пофиксил указанные строки в HiJackThis.

Выполнил Farbar Recovery Scan Tool. Отчеты прикрепляю к данному сообщению.

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    HKLM\...\Run: [svchost.exe] => C:\Users\Администратор\AppData\Roaming\svchost.exe <==== ATTENTION
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13926 2020-08-16] () [File not signed]
    C:\Users\Администратор\AppData\Roaming\svchost.exe
    
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на сообщение
Поделиться на другие сайты

Добрый вечер!

 

Выполнил всё согласно пунктам с 1-го по 3-й. Файл Fixlog.txt прикрепляю к данному сообщению.

Архив, указанный в пункте 4, создан не был.

 

Следует ли мне нажать <OK> после чего произойдёт перезагрузка компьютера, как это сообщает FRST?

Fixlog.txt

 

Добрый день!
 

 

Что ещё необходимо предоставить?

 

Ссылка на сообщение
Поделиться на другие сайты

Создайте запрос через Kaspersky Company Account 

 

К запросу добавьте несколько зашифрованных файлов и содержимое папки C:\FRST\Quarantine.

Ссылка на сообщение
Поделиться на другие сайты

Добрый день!
Есть новости?

 

ещё вопрос

 

1. товарищи шифровальщики ранее отвечали на почту

fun63s@protonmail.com / smith1@mailfence.com

 

но сегодня перестали :

    rejected: Address does not exist

 

получается больше с ними никак не связаться ?

 

 

2. https://www.pcrisk.pt/guias-de-remocao/10061-aim-ransomwarehttps://www.pcrisk.pt/guias-de-remocao/10061-aim-ransomware

 

вот это всё ерунда же ?

Ссылка на сообщение
Поделиться на другие сайты

Добрый день, я в ЛК не работаю и не могу отслеживать состояние вашего запроса. Можете попробовать уточнить состояние запроса по горячей линии для корпоративных пользователей. 

Ссылка на сообщение
Поделиться на другие сайты

Не платите этим упырям-мошенникам

 

По почте люди договорились, что за $1100 они расшифруют 2 ID

перевели им деньги, они прислали сканер (могу его выложить)

запустили на 2х компах, сканер нашёл 5 ID (видимо из-за сетевых папок) и теперь они ещё хотят $1100 за все 5 ID

 

их координаты

smith265@protonmail.com

telegram id: @smith39k

https://www.blockchain.com/btc/address/3BJwZ6DDFz8tFTMQiaagpeULscDyARwRtt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...