hakbit [РЕШЕНО] secure[milleni5000@qq.com]

[Miqueza 0]

Добрый день!

 

Помогите пожалуйста. Имена файлов сменились на это: "After Effects.lnk.secure[milleni5000@qq.com]".

 

Как вернуть обратно?

На диске С появился документ: "RESTORE_FILES_INFO"

 

Содержит след. инфу:

 

Your files are secured...
Write to this email with your Key Identifier:
milleni5000@qq.com


Key Identifier: 
baKZxhmD6A9bkwceMnwlNR6cuu2s7UqBujXwCXquN2cdEePOfuB2XLSoiTAUERYGeibmE6gDlvupzWdOO+dLTMeyyhDh7aTIEZ8Y8/euoXLRzPsyXU7qDoEnXby/ox9swMOKsDvLBU6jhb/SznGtbFpvCaMB3WAcAUUNC92cU2ItFhQwMgdpuMYBJ8LuRSOI+B2Tbm3KJJk9QfQbO+HOxSpFXdnY7jJ6Ufw3oa6vyGjj+aQ9KVBQpJn6fBlgi0ESGcmBvt9TVWQIiqvvB5hDyj3FpwYelvIpO9G2OXPpIHPYAY7MCMyFHKMlXHcIJtr1cVGh42uguKMX5BOpU6mDWDY0F+LorDADi4Sx4V8fAo+fzAbGlxIdWOJDRkKnYr4W/eO+faE2GM0tcIuEJGPl5atMpC3BsDQSj3bNHZKTqr5GaiIZphZfJ2Lv+ovZiYzkx8N1eTK897U+WH2Xbqxwu55MvnOJTunJcgL9uBa8pP/9+lC27LBZlv+xcS9hEIVcgmS7BLpC76wG+9EDqa+RV3DTykS6x65SINAX3Xto1rLPJeZUSFmOxbUtrcsik+UBA7Pn3UfG+mWAakF9h00Wz+/mz4B0xIIbYz6ANc8vql6laAaZLwAhQIQNwrnZkB0hEvmSYhSydWSuGrwo1Ag48FZLZPndYFWDcKQi0U0PJ30=


Number of files that were processed is: 276600

 

Проверил AVZ:

 

Протокол утилиты AVZ версии 5.50
Сканирование запущено в 17.03.2021 10:00:13
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 05.03.2021 04:00
Загружены микропрограммы эвристики: 404
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 1195561
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 10.0.19042,  "Windows 10 Pro" (Windows 10 Pro) x64, дата инсталляции 15.11.2020 23:35:37 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 188
 Количество загруженных модулей: 360
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\06ae21f6-6c91-479e-a6b5-1df8ab21d7f2.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\0889ba8a-1464-4db7-b1c8-51a1e6610981.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\19fed871-304c-4240-8236-db6ca170f75f.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\1a15d823-bef1-4e01-bf6b-3bbe016bce40.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\2f88d172-2a53-486f-985d-1c97a2c85445.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\2f90f84c-9fc5-47bd-a650-4e393cb36cc0.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\3c570bc6-e843-4dbb-8efc-4960ed125890.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\6ace7528-baf3-4c12-8eb5-59759d9db1c4.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\7a055c71-3994-4f67-94b9-b5caa43c6134.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\7f30e013-be7f-445a-a7c3-1240b3d64058.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\902eabf4-be69-412f-acfe-2f45ac43d9d4.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\90bf3e25-e7d0-41f2-96eb-37b7d640a183.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\a6c8469c-438d-4f69-94f5-5d4c10cf3d11.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\c1b6144e-36b1-438a-91ad-be50ede7f614.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\d0ce9301-561c-41f2-b86f-03314595abe2.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\db02bd7a-8d71-4d18-9065-d3b2a69074cc.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\db89599f-ec38-4afa-9c14-7c83eaf9d4cf.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\e1034dcd-951f-4501-9d5a-ef873306bdbe.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\e296bd3f-94dd-4963-8551-ca00e92c6a30.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\f9b5e172-855d-4ec1-ae1f-98a630b89652.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\fa019844-6bde-43ff-bc8f-be33e6ed6464.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\fcc1bbd4-db74-4ed0-afec-b2e3792e5c34.tmp
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> C:\Windows\aact_tools\aact.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
>> Проводник - включить отображение расширений для файлов известных системе типов
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 104321, извлечено из архивов: 4283, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 17.03.2021 10:03:50
Сканирование длилось 00:03:38

 

До этого правда удалось cureit запустить, вот что он почистил: https://yadi.sk/i/Nvv8_HKkCFw-VQ (скриншот)

 

Купил Касперский, он не запускает установщик.

 

Прочитал и дополнительно высылаю еще файлы FRST: 

Addition.txt FRST.txt Shortcut.txt

Изменено 17 марта, 2021 пользователем Miqueza

[Miqueza 0]

Последнее что ставил на комп (отключал защитника виндовс, 12 марта вечер):

https://byrutor.org/2392-euro-truck-simulator-2-repack-by-xatab-to.html
https://igromagnit.net/simulator/3156-euro-truck-simulator-2-rossija.html#full-repack

Кажется после этого и начала шуметь карта.

 

Вчера комп подтормаживал и долго рендерил видео последние дни. Файлы очень важно спасти... Работа.

 

Сегодня утром проснулся и привет.

 

Если есть возможность звоните +79067302360.

Изменено 17 марта, 2021 пользователем Miqueza

[Sandor 1 303]

Здравствуйте!

 

Кроме шифрования у вас ещё и майнер-блокировщик ((

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.

После перезагрузки системы соберите CollectionLog Автологером.

 

53 минуты назад, Miqueza сказал:

На диске С появился документ: "RESTORE_FILES_INFO"

Этот файл и пару зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

[Miqueza 0]

Добрый день!

 

Я подгрузил дополнительно что я еще делал за сегодняшнее утро... Фотки с телефона на ЯД: https://yadi.sk/d/8ajMDkhVoHqu9Q (Attempting to mount device... висит и ничего не происходит).

 

Все сделал. RESTORE_FILES_INFO.rar — архив с бякой. И лог соответсвенно.

Этот milleni на почте ответил:

 

hello,
to decrypt your files You will need a special software with your special unique private key.
price of software with your private key will be 1500 US dollars.
with this product you can decrypt all your files.
we accept only BITCOIN payments. (It is a decentralized digital currency)
when your payment will be delivered you will receive your software with private key IMMEDIATELY!

to be sure we have the decryptor and it works you can send to us one file and we decrypt it for free.
but this file should be of not valuable!
let us know about your decision as soon as possible and we give you bitcoin wallet for payment.
thanks.

 

 

UPD 11:32: После действий этих у меня получилось запустить установку Касперского, установил.

RESTORE_FILES_INFO.rarCollectionLog-2021.03.17-11.17.zip

Изменено 17 марта, 2021 пользователем Miqueza

[Sandor 1 303]

Удалите старые и соберите новые логи Farbar Recovery Tool.

[Miqueza 0]

8 минут назад, Sandor сказал:

Удалите старые и соберите новые логи Farbar Recovery Tool.

Готово:

Addition.txtFRST.txtShortcut.txt

Изменено 17 марта, 2021 пользователем Miqueza

[Sandor 1 303]

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

А мы пока пытаемся своими силами определить тип вымогателя.

[Miqueza 0]

1 минуту назад, Sandor сказал:

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

А мы пока пытаемся своими силами определить тип вымогателя.

Запрос сделал. + Параллельно с Вами хочу конечно же продолжить.

[Sandor 1 303]

3 минуты назад, Miqueza сказал:

Запрос сделал

Ответ приведите здесь тоже, пожалуйста.

[Miqueza 0]

10 минут назад, Sandor сказал:

Ответ приведите здесь тоже, пожалуйста.

Приведу обязательно, пока тишина.

 

А от Вас когда можно ожидать заключения? Интересно. Спасибо!

[Sandor 1 303]

Как только ответят коллеги. Только хочу предупредить, шансов на успех крайне мало.

[Miqueza 0]

5 часов назад, Sandor сказал:

Как только ответят коллеги. Только хочу предупредить, шансов на успех крайне мало.

Мда, вот это пападос, как он проник млин. Не слышал даже о таком. Нафига кому-то так делать это ужас, прочитал в инете что обычно только 20% людей получает свои файлы после выкупа.

 

В негативном раскладе форматирование всех дисков и снос системы поможет убрать всё и все следы этого безобразия? Сразу накачу антивир. Ппц. Только файлы... Это жесть... Звонил в DATARC сказали они не помогут, только Касперский и прочие.

 

Написал этим чудикам:

 

hello,
i don't have this amount

 

Они в ответ:

 

We can make a discount for you and it will cost only 750 Us dollars.
Do not misunderstand us, we also need to beat off the time and effort spent.
Let us know about your decision as soon as possible.

 

Ну и я им ответил жалобно, посмотрим, что скажут.

[Sandor 1 303]

Hakbit / Thanos Ransomware, то есть обрадовать нечем. Ждём что ответит ЛК.

[Miqueza 0]

Далее к той переписке что есть выше:

 

1. Я сказал ему что я болен и что все деньги уходят на лекарства и в компьютере содержаться файлы по плану лечения.

 

2. Он попросил доказать это.

 

3. Подобрал фотку на гугл фото и выслал и не важно что она на женщину 90 г. рождения, а я мужчина 94. Не проверил. Предварительно проверил не ищется ли эта фотография по гугл картинкам - не ищется. Отправил не как вложение в почту, чтобы нельзя было отследить историю создания файла а как вставка изображения в почту.

 

Спустя полтора часа он прислал:

 

download Decryptor from: https://dropmefiles.com/6qTlY
winrar password: 121212

in Decryptor on Crypted Extension Insert this: .secure[milleni5000@qq.com]

Descryption password:
O[ahwt4/P8]]RPq}Hl5e]^GS`{WzImkL

 

В автоматическом режиме она за 15 секунд восстановила рабочий стол. Сейчас долго шуршит по диску где занято 200 гб из 1 тб. Посмотрим, что будет. Программа часто слетает, особенно при объемных папках, которые содержат много внутренних папок и большой вес файлов. Приходилось перезагружаться. Касперский не мешает работе программы. Приходилось выбирать папки более узко и тогда получаем сообщение об успехе. 

 

 

Расшифровщик от него во вложении:

 

Decryptor.zip

 

Новые логи во вложении (какие-то проги стандартные были запущены в трее и + Касперский если это важно), прошу, пожалуйста, помочь почистить все следы. Касперский сейчас стоит активно на защите если что. Сегодня купил на нервах.

 

FRST.txtShortcut.txtAddition.txt

 

ЛК ответили что взяли в работу в 15:36. Сейчас дошлю им файл который получил от злоумышленника.

 

Еще напоминаю если поможет придумать универсальный разблокировщик картинки по сегодняшней проблеме на ЯД загружены дополнительно которых здесь нет, вес тяжелый (какое-то время там повисят): https://yadi.sk/d/8ajMDkhVoHqu9Q

 

 

Мой ответ в лабораторию показываю во вложении.

[Sandor 1 303]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Startup: C:\Users\john\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk [2021-03-16]
  ShortcutTarget: mystartup.lnk -> C:\Users\DANIIL\AppData\Local\Temp\RESTORE_FILES_INFO.txt (Нет файла)
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://www.istartsurf.com/?type=hp&ts=1408631095&from=smt&uid=WDCXWD5001AALS-00J7B0_WD-WMATV735211952119","hxxp://www.google.com/","hxxps://www.google.com/"
  2021-03-17 00:28 - 2021-03-17 00:28 - 000001285 _____ C:\Users\john\Desktop\RESTORE_FILES_INFO.hta
  2021-03-17 00:28 - 2021-03-17 00:28 - 000000854 _____ C:\Windows\RESTORE_FILES_INFO.txt
  2021-03-17 00:28 - 2021-03-17 00:28 - 000000854 _____ C:\Users\john\Desktop\RESTORE_FILES_INFO.txt
  2021-03-17 00:28 - 2021-03-17 00:28 - 000000854 _____ C:\RESTORE_FILES_INFO.txt
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Проверьте существует ли папка

Цитата

C:\Users\john