Перейти к содержанию

[РАСШИФРОВАНО]Зашифрован сервер адрес вымогателей lovestoryforyou@protonmail.com


Рекомендуемые сообщения

Прошу помочь расшифровать файлы сервера.

Произошло это сегодня ночью, логи FRST снял, также имеются файлы зашифрованный и оригинальный и письмо вымогателей.

Будем очень признательны за помощь, спасибо!

Ссылка на сообщение
Поделиться на другие сайты

Прилагаю файлы логов FRST,  зашифрованный файл "Autoruns.zip.BLOCK" (упакован в zip) и оригинальный файл "Autoruns.zip", а также письмо от вымогателей "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt"

 

Addition.txt Autoruns.zip Autoruns.zip.BLOCK.zip FRST.txt КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Поищите другую пару файлов. Размер их должен совпадать.

Ищите в резервных копиях, почте, на других ПК и т.д.

Ссылка на сообщение
Поделиться на другие сайты

Некоторое время подождите.

 

Сначала чистим хвосты в системе, потом будет выдана расшифровка.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    File: C:\ProgramData\Microsoft\DRM\Fyiroroho\Nsilo.exe
    (taskeng.exe ->) () [Доступ не разрешён] C:\ProgramData\Microsoft\DRM\Fyiroroho\Nsilo.exe
    C:\ProgramData\Microsoft\DRM\Fyiroroho\Nsilo.exe
    Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\admin.KFS02\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\ADMIN3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\admind\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\admitry\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\admitry.KFS02\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\odmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\sadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\Программист1с2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Task: {2062DA64-3CBC-4990-835E-3CC246837161} - System32\Tasks\Microsoft\Windows\EntityFramework\NetFramework => C:\ProgramData\Microsoft\DRM\Fyiroroho\Nsilo.exe (Доступ не разрешён) <==== ВНИМАНИЕ
    Task: {D21C2804-1EC8-4ECE-A258-27B318E6966D} - System32\Tasks\WindowsUpdate => C:\Program Files\Common Files\Intel\svchost.exe (Нет файла) <==== ВНИМАНИЕ
    S4 IObitUnlocker; \??\E:\IObit Unlocker\IObitUnlocker.sys [X]
    FirewallRules: [{5B9BFABA-0464-4B11-A4EA-62F4224C9682}] => (Allow) LPort=21
    FirewallRules: [{BEC7BB6F-C31A-4C47-9173-26C61DA29EBA}] => (Allow) C:\ProgramData\Microsoft\DRM\Izanoma\NetFramework.exe => Нет файла
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Ссылка на сообщение
Поделиться на другие сайты

Жаль, что вы дважды выполнили скрипт, хоть я просил один раз. Новый fixlog перезаписал результаты старого.

Но ладно. Прочтите личные сообщения.

Ссылка на сообщение
Поделиться на другие сайты

Спасибо огромное, процесс расшифровки пошел.

Скажите, пожалуйста, у меня еще 2 сервера в таком же зашифрованном состоянии -можно ли на них делать исправление c помощью вашего скрипта + frst64 и запускать расшифровку?

Ссылка на сообщение
Поделиться на другие сайты

Отлично!

 

14 часов назад, ADmitry73 сказал:

c помощью вашего скрипта + frst64

Нет, скрипт был написан только для этой системы.

Если на других нужна помощь в очистке следов, создайте для каждого отдельную тему и соберите логи Farbar.

 

Здесь в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2. 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to [РАСШИФРОВАНО]Зашифрован сервер адрес вымогателей lovestoryforyou@protonmail.com

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • stnipper
      От stnipper
      Здравствуйте!
      Если есть возможность окажите помощь.
      Возможно после установки файла, который в архиве "virus" зашифровались файлы на логическом диске E, а логический диск D стал RAW
      Addition.txt FRST.txt файлы.rar
    • AlexF
      От AlexF
      Я смотрю не одинок я. Товарищи! Выручайте. Вся моя жизнь как повара зашифрована  
      С меня плюсов в карму и вкусностей всяких. Заранее благодарен.
      files.rar
    • lakost08
      От lakost08
      Был атакован сервер Windows Server 2008, а файлы зашифрованы. По факту есть бекап сервера, но увы и ах он тоже зашифрован, возможно ли расшифровать? прилагаю документы.
      x.zip
    • Анатолий Т
      От Анатолий Т
      День добрый.
      10 апреля пошли спать. 11 утром обнаружили, что все файлы зашифрованы.
      С Вашей помощью получилось восстановить файлы. Но вот сегодня обнаружил, что по RDP, с ноутбука который был вылечен, подключились к рабочему серверу и зашифровали там файлы тоже.
      Помогите пожалуйста отчистить комп от заразы.
      Addition.txt FRST.txt
    • Анатолий Т
      От Анатолий Т
      День добрый.
      10 апреля пошли спать. 11 утром обнаружили, что все файлы зашифрованы.
      В корзине найдено приложение www. Восстановил. Всё добавил в архив.
      Помогите пожалуйста.
      virus.rar
×
×
  • Создать...