Перейти к содержанию

Selena@onionmail.org

nikolastv
 Share

Рекомендуемые сообщения

nikolastv Новичок

nikolastv

Опубликовано
Опубликовано

зашли по RDP  зашифровали все добрались даже до сетевых хранилищ на FTP

 

формат файла id[].[Selena@onionmail.org].Имяфайла.selena

 

Может кто сталкивался?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна? (Дыра, судя по логам, пока присутствует).

Ссылка на комментарий
Поделиться на другие сайты
nikolastv Новичок

nikolastv

Опубликовано
  • Автор
Опубликовано
04.05.2022 в 13:23, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна? (Дыра, судя по логам, пока присутствует).

Да если можете подсказать куда смотреть Буду благодарен.

 

 

04.05.2022 в 13:23, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна? (Дыра, судя по логам, пока присутствует).

Нашлись те кто уже ловил эту штуку Они сказали что дешифратора не сохранилось Решили вопрос деньгами. Я так понимаю что те дыры которые присутствуют в системы Должны быть по инстукции запущены в определенном алгоритме И тогда все заработает Но это чисто догадки

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Извините за задержку с ответом.

 

05.05.2022 в 09:16, nikolastv сказал:

дешифратора не сохранилось

 

Вам чужой бы и не подошел.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\...\RunOnce: [267bfc26-491c-42b4-9732-1c6e1b35d586] => "C:\Users\ADMINI~1\AppData\Local\Temp\{92b14513-a553-4cfe-b7fd-64b1caef3882}\267bfc26-491c-42b4-9732-1c6e1b35d586.cmd" <==== ВНИМАНИЕ
IFEO\sethc.exe: [Debugger] C:\windows\apppatch\system.exe
S2 jXT8Lq1y; c:\windows\system32\cmd.exe /c start c:\windows\wait.bat
File: c:\windows\wait.bat
FirewallRules: [{688A3B42-2454-44C3-B033-F9AFB2D0F81D}] => (Allow) LPort=475
FirewallRules: [{64A2D90D-2703-45B1-969D-4BC1259E7968}] => (Allow) LPort=475
FirewallRules: [{A1A0BBC5-4EF4-4518-B41E-50722FF39561}] => (Allow) LPort=35107
FirewallRules: [{C7D7EF80-A958-49E8-9A44-6751183F82D6}] => (Allow) LPort=35113
FirewallRules: [{B51ABBC8-8BB4-4AA8-AFFA-C97BDF725945}] => (Allow) LPort=35114
FirewallRules: [{D1844126-3A2A-45E0-A317-85DB78FCACBB}] => (Allow) LPort=35221
FirewallRules: [{061DE78F-8695-4529-A201-D74967DFA916}] => (Allow) LPort=35121
FirewallRules: [{0E17FBA7-774F-4419-8EC6-B9D52DE85082}] => (Allow) LPort=35108
FirewallRules: [{7D11E5B1-F82A-45DE-8DE3-7A7CCD1EC56D}] => (Allow) LPort=35106
FirewallRules: [{FBCDB29A-6931-4C18-AA75-299B5E47E225}] => (Allow) LPort=35200
FirewallRules: [{5B294A5F-D8BF-4D6D-88BE-3C504B489EAD}] => (Allow) LPort=35116
FirewallRules: [{3C60A41F-39C2-46EF-8E1C-33ECBCF5277E}] => (Allow) LPort=35117
FirewallRules: [{6526E1F5-7744-4768-A4A0-FC2A74ED9F44}] => (Allow) LPort=35119
FirewallRules: [{FB20EEB2-FFFB-4B87-99B3-3CD56AF3BDA5}] => (Allow) LPort=35120
FirewallRules: [{C133CF51-054F-44FD-A991-766118580855}] => (Allow) LPort=35100
FirewallRules: [{8CEA19E2-829A-4D66-9139-7DEAE8CDAD61}] => (Allow) LPort=35101
FirewallRules: [{403CCE37-46A3-4E56-9E02-1C088634E03C}] => (Allow) LPort=35102
FirewallRules: [{799BA8F4-833E-4A7D-8245-AD75FB731C1C}] => (Allow) LPort=35103
FirewallRules: [{9A7917B9-396B-4F13-9B9B-25B3CA08BEE6}] => (Allow) LPort=35104
FirewallRules: [{15464B95-B489-4B40-914E-0D15D76CD78E}] => (Allow) LPort=35105
FirewallRules: [{A535AA52-0793-4D57-96D0-6353DC66E339}] => (Allow) LPort=35109
FirewallRules: [{09E0DA84-BAE1-46CD-9ACA-992BF5886E2D}] => (Allow) LPort=35110
FirewallRules: [{216E2FBA-090F-44CF-8B9F-202754AD26EA}] => (Allow) LPort=35111
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Файл selena.txt вы переименовали самостоятельно?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • organism
      шифратор jinxishere@onionmail.org
      От organism
      в выходные зашифровались все файлы, включая 1с
      установленный касперский больше не работает
      прилагаю образцы файлов и  сообщение от вируса
      пароль архива 32768
      эквилибриум.zip
    • compsoft45
      зашифрованы файлы Файлы с расширение [gotchadec@onionmail.org].[15eutk9nsugcwg].Surtr
      От compsoft45
      Нужна помощь по расшифровке.
      Вирус с паролем 123
      образцы
    • Alex18
      Шифровальщик, расширение ...[godecrypt@onionmail.org].4o4
      От Alex18
      Добрый день!
      Проблема - ночной взлом (как я понимаю через rdp), вирус зашифровал данные на дисках.
      Прошу помощи в расшифровке или хотя бы подсказать что делать.
      Также имеется пара файлов - зашифрованный и не зашифрованный.
      Спасибо!
      files.zip Addition.txt FRST.txt
    • Максим63
      Шифровальщик dectokyo@onionmail.org.
      От Максим63
      Добрый день, наше предприятие зашифровал вирус, мы связались, заплатили, они нам прислали дешифратор, но он не расшифровал 90% файлов, только вернул в нормальный вид название, а сам файл открыть не получается. 
      МОЙ КАЛЕНДАРЬ!.xls.[dectokyo@onionmail.org].[mfrieu62bpc2g8].surtr 
      Подскажите как быть?
    • Agatik
      Шифровальщик [kanndata@onionmail.org]
      От Agatik
      Помогите решить проблему с Шифровальщиком 
       
      ALL YOUR DATA WAS ENCRYPTED
      Whats Happen?
      Your files are encrypted, and currently unavailable. You can check it: 
      By the way, everything is possible to restore, but you need to follow our instructions. Otherwise, you cant return your data.
      What guarantees?
      It's just a business. We absolutely do not care about you and your deals, except getting benefits.
      If we do not do our work and liabilities - nobody will not cooperate with us.
      It's not in our interests.
      If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key.
      In practise - time is much more valuable than money.
      What should You include in your message?
      1. Your country and city
      2. This TXT file
      3. Some files for free decryption
      Free decryption as guarantee!
      Before paying you send us up to 1 files for free decryption Less than 10M.
      Send pictures, text files. 
      To get this software you need write on our e-mail:
      kanndata@tutanota.com
      Reserve e-mail address to contact us:
      kanndata@onionmail.org
      Your personal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
       
       
      был найден в загрузках текстовый документ 
      Может кто сталкивался с подобный 
      антивирус был установлен 
×
×
  • Создать...