Перейти к содержанию

xmrlocker зашифровал и удалил некоторые файлы

Qualtum
 Поделиться

Рекомендуемые сообщения

Qualtum

Qualtum

Опубликовано
Опубликовано

 Сотрудник случайно подцепил вирус через интернет (без понятия каким образом). Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. На рабочем компьютере пропали все файлы в папках (папки не пропали). На сервере все файлы зашифровались с расширением xmrlocker. Файлы на компьютерах,которые были подключены по локальной сети - тоже зашифровались. К теме прикрепил файл с логами пк,где нет файлов в папках. Файл с логами сервера,где все файлы зашифрованы. Файл zip с файлом шифрования и ReadMe. 

 

Нашел несколько сайтов,где хоть как-то обсуждают шифровщик xmrlocker:
1.  https://id-ransomware.blogspot.com/2020/08/xmrlocker-ransomware.html

2. https://sensorstechforum.com/xmrlocker-virus-remove/

 

 

Зашифрованный файл и ReadMe.zip Лог с сервера.zip Лог с пк .zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Как вы вероятно поняли, вымогатель в стадии изучения. Есть расшифровка или нет, вам ответят в тех-поддержке.

Если нужна помощь в очистке системы от следов вымогателя, действуйте по принципу один компьютер - одна тема.

Qualtum

Qualtum

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

Спасибо за совет и поддержку.
Подскажите пожалуйста принцип "один компьютер - одна тема".

Sandor

Sandor

Опубликовано
Опубликовано

Вы прикрепили логи ПК и сервера. Здесь будем продолжать, например, с ПК. Для сервера создайте отдельную тему и там прикрепите логи. Иначе возможна путаница и для вас и для нас.

 

+

Все рекомендации следует выполнять от имени администратора.

Цитата

Ran by nikaporte4 (ATTENTION: The user is not administrator)

Переделайте, пожалуйста.

  • 3 месяца спустя...
Qualtum

Qualtum

Опубликовано
  • Автор
Опубликовано

Для всех потерпевших решил еще раз зайти и рассказать чем все закончилось.
В конце концов я решил оплатить расшифровщик у хакера.
На контакт мошенник шел спокойной,даже поторговался с ним. 

В конце концов он скинул мне расшифровщик за 2500 рублей. 
Расшифровщик не могу сейчас скинуть,он лежит на отдельном пк.
Если кому-то надо будет - напишите на почту ganstetet@yandex.ru.

Sandor

Sandor

Опубликовано
Опубликовано
32 минуты назад, Qualtum сказал:

Если кому-то надо будет - напишите

Другому он не подойдет.

  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KolanK
      Вирус Robotdemo
      Автор KolanK
      На пк сидит майнер Robotdemo. Антивирусы его не находят, только через Advance system care получается его снести на некоторое время. Спустя несколько дней (бывает даже раньше) он появляется снова.  В папке ProgramData он тоже не отображается.


      CollectionLog-2026.01.13-19.23.zip
    • Beshan
      После kms auto появляется самовосстанавливающаяся папка с trojan (czyuzabpfprl и ztbhbqffszlu)
      Автор Beshan
      Добрый день, пытался активировать виндовс через kms auto, после чего начали появляться самовосстанавливающиеся папки с файлом внутри, которые антивирус бесконечно теперь удаляет. Прикрепляю логи с Farbar Recovery Scan Tool. Спасибо
      Addition.zip FRST.zip
    • bl1nchik2287
      [РЕШЕНО] Вирус после kms-auto
      Автор bl1nchik2287
      Вирус в папке ProgramData, создает папку ztbhbqffszlu. После удаления восстанавливается. Началось после активации офис через KMS Auto. Видел похожую тему, потому прилагаю результаты скана frst64. Пожалуйста, помогите.
      FRST.txt Addition.txt
    • admin123
      Проводник грузит процессор постоянно на 50 %
      Автор admin123
      1. Проверял через Dr.Web cureit - Ничего не найдено, пишет, что чисто
      2. Вчера захожу в диспетчер задач, а тут проводник грузит ЦП на  50 % постоянно, открываю Threads в Proccec Explorer, там какая то dll.
      Ещё заметил одну особенность, при отключение интернета эта нагрузка пропадает, подскажите что делать, винду не хочу переустанавливать.

      CollectionLog-2026.01.12-00.34.zip
    • Two2Face
      [РЕШЕНО] Подозрительный проводник в диспетчере задач и возможно нагруженная память
      Автор Two2Face
      Добрый день. Сегодня залез в диспетчер задач, а там я заметил, что один из процессоров нагружает 18% ЦП. Это - 'Проводник'. После я решил посмотреть в программе Process Explorer, там наш проводник уже высвечивается, как - 'explorer.exe', без иконки (внизу бегают разные explorer.exe, которые высвечиваются с иконками в виде жёлтой папки, как в диспетчере задач, а этот без иконки и под 18%, но возможно здесь я чего-то не понимаю). Ещё память нагружена под 29, но у меня открыт гугл (много вкладок), Дискорд, ВПН и протокол, поэтому не могу быть полностью уверен в том, что в этом пункте тоже вирус (не знаю, нужно ли это здесь, но 5090 и 9950x3d). Кстати, когда я пытаюсь завершить проводник в диспетчере задач, то у меня комп постоянно уходит в перезагрузку (хотел закрыть процесс, что бы потом запустить новую задачу, вдруг завис). 


      CollectionLog-2026.01.11-07.51.zip
×
×
  • Создать...