Перейти к содержанию

[РЕШЕНО] подозрительный файл exUpd.exe


Рекомендуемые сообщения

Добрый вечер! На днях начал замечать, что компьютер стал периодически "зависать", на несколько секунд. Например, при печатании текста, курсор пропадал секунд на 5 и ввод текста останавливался. Потом курсор появлялся и всё нормализовалось и так в постоянном цикле. Была произведена полная проверка программой KIS и вирусы не обнаружены. Я заметил в мониторинге сети KIS, что Windows 7 x64 отправляет отчет об ошибках. Была вычислена подозрительная папка с файлом exUpd.exe находящаяся по адресу: C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds. Запустив диспетчер задач, был выявлен периодически появляющийся и исчезающий процесс exUpd.exe. Дело в том, что Google Chrome у меня не установлен. Не понятно, откуда взялась эта папка? После обнаружения я удалил папку \Google\ChromeExtensions\Ads\HoneyAds со всем содержимым. Потом почистил реестр по exUpd.exe. После перезагрузки компьютер "ожил" и все подозрительные процессы исчезли, но сегодня опять всё возобновилось. Опять появилась папка \Google\ChromeExtensions\Ads\HoneyAds и компьютер цикле "тормозит". Помогите пожалуйста разобраться с этой проблемой.

CollectionLog-2021.03.26-18.40.zip

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 40
  • Создана
  • Последний ответ

Топ авторов темы

  • mike 1

    21

  • Андрей_

    20

Топ авторов темы

Изображения в теме

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
TerminateProcessByName('C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe');
QuarantineFile('C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe','');
DeleteFile('C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe','32');
 DeleteSchedulerTask('zChromeExtenst');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 
 

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Дополнительное сканирование отмечены "List BCD", "Driver MD5" и "90 дней".
  3. Нажмите кнопку Сканировать.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\Run: [] => [X]
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\Policies\system: [LogonHoursAction] 2
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {15956e84-5ad1-11ea-b540-50e5493e4396} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {15956e8a-5ad1-11ea-b540-50e5493e4396} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {168c1b43-2299-11e6-b7b9-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {171ae9f6-7fe4-11e7-bb45-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {171aea00-7fe4-11e7-bb45-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {18e3763b-1462-11e7-bfe4-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {1a694679-3d0f-11e7-88ef-50e5493e4396} - G:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {2d48b41d-0d7a-11e7-bcda-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {2e4d0b8f-e08e-11ea-be78-50e5493e4396} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {417ecfcb-03d0-11e7-8324-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {70abdb2b-54a1-11ea-b4ca-50e5493e4396} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {fec73914-3ecf-11e6-a93c-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\Policies\system: [LogonHoursAction] 2
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\MountPoints2: {0555c847-1cfe-11ea-bfcf-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\MountPoints2: {2e4d0b8f-e08e-11ea-be78-50e5493e4396} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\MountPoints2: {d39e0fe2-8fc2-11ea-88a9-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1005\...\MountPoints2: {2e4d0b8f-e08e-11ea-be78-50e5493e4396} - F:\HiSuiteDownLoader.exe
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\user\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\user1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\Сергей\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    U3 aswbdisk; отсутствует ImagePath
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    AlternateDataStreams: C:\ProgramData\TEMP:111F082E [274]
    AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [147]
    AlternateDataStreams: C:\Users\user\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\user\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\user1\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\user1\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1000 -> Нет имени - {001032CB-B0AC-4F2C-A650-AD4B2B26E5DA} -  Нет файла
    Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1000 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
    Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
    Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1005 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
    C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions
    zip:C:\FRST\Quarantine

     

  3. Запустите FRST и нажмите один раз на кнопку Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Цитата

user (S-1-5-21-1562740439-1242730839-3635279109-1000 - Administrator - Enabled) => C:\Users\user
user1 (S-1-5-21-1562740439-1242730839-3635279109-1004 - Administrator - Enabled) => C:\Users\user1

Эти обе учетные записи используются в работе?

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Да, обе учетные записи используются.

Архив с рабочего стола загрузил в карантин для анализа.

Fixlog.txt

опять наблюдаю зловредный процесс в диспетчере задач

Ссылка на комментарий
Поделиться на другие сайты

10 часов назад, mike 1 сказал:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод

Не выполнено.

 

Далее сделайте такой лог https://safezone.cc/threads/kak-podgotovit-log-universal-virus-sniffer-uvs.14508/

Ссылка на комментарий
Поделиться на другие сайты

Прошу прощения, при сохранении текста в блокноте не переключил в Юникод.

Провел процедуру заново в программе FRST с исправлением.

Выкладываю новый лог.

Новый архив, с рабочего стола загружать в карантин для анализа?

 

Fixlog.txt USER-PC_2021-03-27_12-37-34_v4.11.5.7z

Ссылка на комментарий
Поделиться на другие сайты

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ".
  4. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

     

    ;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv6.1
    v400c
    breg
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
    delall %SystemDrive%\USERS\USER1\APPDATA\ROAMING\MICROSOFT\GOOGLE\CHROMEEXTENSIONS\ADS\HONEYADS\EXUPD.EXE
    deldir %SystemDrive%\USERS\USER1\APPDATA\ROAMING\MICROSOFT\GOOGLE\CHROMEEXTENSIONS
    deltmp
    restart

     

  5. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."

  6. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

 

 

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).


Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
 
Ссылка на комментарий
Поделиться на другие сайты

Деинсталлируйте: Ace Stream Media 3.1.7

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    Task: {76E39FFA-70E6-42BB-A16A-58E595E846E8} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1791712 2021-02-23] (Avast Software s.r.o. -> Avast Software)
    Task: {9654E9D4-6F47-4060-9F3F-9F2E87123617} - \zChromeExtenst -> Нет файла <==== ВНИМАНИЕ
    Task: {976E29DD-E6F3-4116-864D-0AADA441AA9E} - System32\Tasks\Mozilla\Firefox Default Browser Agent E7CF176E110C211B => C:\Program Files (x86)\Mozilla Firefox\default-browser-agent.exe [696816 2021-03-25] (Mozilla Corporation -> Mozilla Foundation)
    S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
    FirewallRules: [{F2DE3B83-2170-41F7-AF1C-C6D26CEDCF0E}] => (Allow) LPort=80
    FirewallRules: [{8544EBBD-4E87-4788-85BF-E5068D4C9175}] => (Allow) LPort=443
    FirewallRules: [{A794A3DA-1C2B-4660-B642-CF3CC632F37A}] => (Allow) LPort=20010
    FirewallRules: [{0AC22281-CF75-4B82-9A29-CBAA976B8F4C}] => (Allow) LPort=3478
    FirewallRules: [{C7D71C99-534D-4F91-B4C9-4ED57D390CDC}] => (Allow) LPort=7850
    FirewallRules: [{9DC2CE61-0AFF-4C4F-A620-5340D69C13B9}] => (Allow) LPort=7852
    FirewallRules: [{472EF72F-AE26-46FC-A95B-DBD4A1399D71}] => (Allow) LPort=7853
    FirewallRules: [{923C5B47-18F8-4572-A612-AB23F99291E5}] => (Allow) LPort=27022
    FirewallRules: [{B35F01CD-E944-4ED7-BAF2-6CC960BD4D15}] => (Allow) LPort=6881
    FirewallRules: [{AFD2C7F8-53FB-41C0-A662-E84F5B2369C8}] => (Allow) LPort=33333
    FirewallRules: [{8B2E849E-FA7B-40D3-9743-46F05D99EFC3}] => (Allow) LPort=20443
    FirewallRules: [{45C0BD62-9C77-45A5-9B73-C5B8DBEFF8FA}] => (Allow) LPort=8090
    EmptyTemp:

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен и будут очищены сохраненные пароли в браузерах.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Snak3EyeS92
      Автор Snak3EyeS92
      Некоторое время назад стал наблюдать исходящее сетевое соединение от проводника на мониторе сетевой активности Kaspersky Internet Security. Раньше подобного не замечал. Появляется оно после перезагрузки системы. Проверял внешние IP, на которые идет соединение в Virus Total. Выдавалось вот такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. К одному из этих IP были комментарии "Malware" и "Bot". Естественно возникли подозрения на вирус или взлом. Проверял компьютер как KIS, так и другими антивирусами, отправлял логи в поддержку Касперского и в соседний форум по помощи с удалением вирусов. В итоге почистил систему от мусора, а подозрений на заражение не было обнаружено. Но проблема остается. Посоветовали обратиться сюда. Остались опасения, что это может быть или глубоко спрятавшийся вирус/шпион/малварь/бот, или следы взлома. Хочу обновиться до Windows 10 с полным удалением данных старой системы, но сперва хочется понять что это вообще за соединение, и чем вызвано такое поведение проводника, если это не вирус. Ну и убедиться, что могу безопасно сохранить некоторые нужные данные на внешние носители или хотя бы в облако перед обновлением системы.
      Ссылка на предыдущую тему:
       
    • KL FC Bot
      Автор KL FC Bot
      В официальном магазине Chrome Web Store исследователи кибербезопасности обнаружили 57 подозрительных расширений более чем с 6 000 000 пользователей. Эти плагины привлекли внимание исследователей из-за того, что разрешения, которые они запрашивают, не соответствуют заявленным функциям.
      К тому же эти расширения скрыты от индексирования — они не отображаются в результатах поиска в Chrome Web Store и их не находят поисковые системы. Для установки такого плагина необходимо иметь прямую ссылку на него в магазине Chrome. В нашем посте расскажем подробно, почему расширения могут быть опасным инструментом в руках киберпреступников, в чем состоит угроза непосредственно от недавно обнаруженных подозрительных плагинов и как не стать жертвой их создателей.
      Чем опасны расширения и как удобство ставит под угрозу безопасность
      Мы уже не раз рассказывали о том, почему к установке браузерных расширений не стоит относиться легкомысленно. Плагины для браузеров часто помогают пользователям ускорить рутинные задачи — например, перевод информации на посещаемых сайтах или же проверку грамотности написанного текста. Однако за сэкономленные минуты нередко приходится платить собственной приватностью и безопасностью.
      Дело в том, что для эффективной работы расширениям, как правило, необходимо иметь широкий доступ ко всему, что делает пользователь в браузере. Например, даже «Google Переводчик» для своей работы просит доступ к «Просмотру и изменению данных на всех сайтах» — то есть он может не только наблюдать за всем, что делает пользователь в Интернете, но и изменять любую отображаемую на странице информацию. Например, в случае переводчика, подставлять переведенный текст вместо оригинального. А теперь представьте, что может сделать вредоносное расширение с таким уровнем доступа!
      Проблема еще и в том, что большинство пользователей не особенно задумывается о потенциальной опасности плагинов. Если исполняемых файлов из непроверенных источников многие уже привыкли опасаться, то от браузерных расширений, да к тому же загруженных из официального магазина, обычно никто не ждет подвоха.
       
      View the full article
    • Sgorick
      Автор Sgorick
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv я с помощью роликов переделал. bits существует в двух экземплярах, один из которых был bkp, но потом стал обычным.
      FRST.txt Addition.txt CollectionLog-2025.06.07-20.41.zip
    • ВасилийВ
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
    • itman
      Автор itman
      Добрый день всем! Хочу поведать вам всем поучительную историю как делать НЕ НАДО!!! В апреле месяце подцепили вирус -шифровальщик! Утром пришли  пользователи, а там все зашифровано на 3 севаках и 2х локалках на которых была расшаренная какая-то папка!! печаль !!! ну а что делать?! благо сисадмин делал копию раз в месяц акрониксом всех серверов, а бухгалтер помимо всего копии на внешний hdd каждое утро и хдд этот хранил в сейфе! (рекомендую всем бухгалтерам так делать!!!) и вот утром сисадмину звонок: -ААА!! Все пропало!! Что делать???? ничего не работает!!!  Помоги!!! и проч))) ну что проснулся от и начал смотреть что все таки произошло! на каждом из серваков при запуске вот такой текст: Encrypted by trust
       Email us for recovery: Rdpdik6@gmail.com
       In case of no answer, send to this email: Rdpp771@gmail.com
      Your unqiue ID:  писать не буду.
       Почти  все файлы (кроме *.dll и тому подобных и системных зашифрованы и переименованы по формуле имя.расширение. [Rdpdik6@gmail.com].lockedfile) и в каждой папке файлик txt c вот таким содержимым:
       Email 1:
      Rdpdik6@gmail.com
      Email 2:
      Rdpp771@gmail.com
      Send messages to both emails at the same time
      So send messages to our emails, check your spam folder every few hours
      ID: эту строчку сотру на всякий случай)
      If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
      Then send us a message with a new email
      Ну сисадмин начал заниматься восстановлением копии то есть пусть месячные но все же копии а базы 1с так вообще вчерашние!!!  (а это самое главное!) прежде чем все восстанавливать сделал копию того что зашифровали а мало ли)) ну и параллельно всё-таки решил он написать этим недо людям (медикам на букву П), что так и так копии есть ущерб не большой на то что пока будет восстанавливаться копия уйдет время давайте разойдемся все миром и в итоге договорились на 30 баксах. Сисадмин им перевел на их кошелек, а они его кинули ни хрена они ему не прислали!!!!
      Прошло какое-то время (месяца полтора!) и тут пользователи посмотрели что у одного там пара доков осталась в общей папке уже после того как делалась копия у другого тоже какие-то доки  у третьего вообще фото с корпоратива и подумали они что всё-таки давай заплатим этим  людям нетрадиционной ориентации) сумму которую они просят! Скинулись толпой. Вот на переговоры опять отправили сисадмина (как жаль его)! Опять шли переговоры пару дней а то и больше ну вроде нашли они компромисс с шантажистами в размере 250$ те опять прислали адрес куда переводить деньги причем второй раз без гарантий! Типа из всех гарантий попросили прислать любой зашифрованный файл не более мегабайта и они покажут что всё-таки могут расшифровать. Отправили им какой-то pdf они в ответ скрин файла только весь замазанный видно только пару слов по которым надо только больше догадываться! По итогу  Он им опять перевел общий банк:
      Получаете:
      200.0813 Tether TRC20 USDT
      На счет:
      TBgx7szAXYNSwPJz1Ama2K85kTXrCcsnG1
       
      И? что вы думаете? Эти деятели пишут:
      Sinior (это ник в телеге одного из шантажистов )
      Deposit $50
      Sinior
      I won't give you the key until you pay me $50.
      Типа вы не доплатили 50 баксов!! Вот так уважаемые читатели этого поста ни в коем случае не вздумайте им платить так как они вам все равно ничего не пришлют!!! А деньги вы потеряете!!! И ни одного файла не расшифруете там рассчитано не на то чтоб найти компромисс а на то чтоб выдурить с вас побольше денег!!!!!!!
      P.S.    Делайте резервные копии и храните их на внешних hhd  и не оставляйте их подключенными к компьютеру! Сделал копию и отключай да не удобно зато надежно!!!! Всем удачи!!!!
       
      Сообщение от модератора thyrex Перенесено из раздела по шифровальщикам
       

×
×
  • Создать...