Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день!

 

Вирус-шифровальщик зашифровал все файлы на сервере 1С, контроллере домена и рабочих машинах в домене. Остановил MS SQL сервер и зашифровал файлы баз данных. Удалил все log-файлы.

 

Оставил сообщение:

"All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Smith1@mailfence.com
Write this ID in the title of your message 0AA58CDB
In case of no answer in 24 hours write us to theese e-mails:fun63s@protonmail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files."

 

Зашифровал даже не значимые файлы типа:

desktop.ini.id-9C15C2BB.[dr.crypt@aol.com].NWA.id-9C15C2BB.[Smith1@mailfence.com].Aim


 

Опубликовано

Добрый день!

 

Прошу извинить, что не прикрепил логи проверки согласно Порядка оформления запроса о помощи.

Прикрепляю их в этом сообщении.

CollectionLog-2020.08.18-13.00.zip

Опубликовано

Здравствуйте, зашифровано с помощью шифровальщика crysis.

 

Пофиксите следующие строчки в HiJackThis.

 

O4 - HKLM\..\Run: [svchost.exe] = C:\Users\Администратор\AppData\Roaming\svchost.exe  (file missing)
O26 - Debugger: HKLM\..\taskmgr.exe: [Debugger] = Hotkey Disabled (file missing)

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png

 

Опубликовано

Добрый день!

 

Большое спасибо за поддержку!

 

Пофиксил указанные строки в HiJackThis.

Выполнил Farbar Recovery Scan Tool. Отчеты прикрепляю к данному сообщению.

Addition.txt FRST.txt

Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    HKLM\...\Run: [svchost.exe] => C:\Users\Администратор\AppData\Roaming\svchost.exe <==== ATTENTION
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13926 2020-08-16] () [File not signed]
    C:\Users\Администратор\AppData\Roaming\svchost.exe
    
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Опубликовано

Добрый вечер!

 

Выполнил всё согласно пунктам с 1-го по 3-й. Файл Fixlog.txt прикрепляю к данному сообщению.

Архив, указанный в пункте 4, создан не был.

 

Следует ли мне нажать <OK> после чего произойдёт перезагрузка компьютера, как это сообщает FRST?

Fixlog.txt

 

Добрый день!
 

 

Что ещё необходимо предоставить?

 

Опубликовано

Михаил, есть лицензия Kaspersky Endpoint Security для бизнеса -- Стандартный Russian Edition. 10­14 Node 1 year Renewal License

 

Опубликовано

Создайте запрос через Kaspersky Company Account 

 

К запросу добавьте несколько зашифрованных файлов и содержимое папки C:\FRST\Quarantine.

Опубликовано

Добрый день!

 

Без запроса никак?

Админ всё никак не может отправить из ЛК.

Опубликовано

На форуме с расшифровкой не поможем. Впрочем, там тоже шансов мало, но это лучше чем ничего.  

Опубликовано

Прикрепил, номер запроса INC000011827948

Опубликовано

Добрый день!
Есть новости?

 

ещё вопрос

 

1. товарищи шифровальщики ранее отвечали на почту

fun63s@protonmail.com / smith1@mailfence.com

 

но сегодня перестали :

    rejected: Address does not exist

 

получается больше с ними никак не связаться ?

 

 

2. https://www.pcrisk.pt/guias-de-remocao/10061-aim-ransomwarehttps://www.pcrisk.pt/guias-de-remocao/10061-aim-ransomware

 

вот это всё ерунда же ?

Опубликовано

Добрый день, я в ЛК не работаю и не могу отслеживать состояние вашего запроса. Можете попробовать уточнить состояние запроса по горячей линии для корпоративных пользователей. 

Опубликовано

Не платите этим упырям-мошенникам

 

По почте люди договорились, что за $1100 они расшифруют 2 ID

перевели им деньги, они прислали сканер (могу его выложить)

запустили на 2х компах, сканер нашёл 5 ID (видимо из-за сетевых папок) и теперь они ещё хотят $1100 за все 5 ID

 

их координаты

smith265@protonmail.com

telegram id: @smith39k

https://www.blockchain.com/btc/address/3BJwZ6DDFz8tFTMQiaagpeULscDyARwRtt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • st0rk
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...