Перейти к содержанию

[РАСШИФРОВАНО]Зашифрован сервер адрес вымогателей lovestoryforyou@protonmail.com


Рекомендуемые сообщения

Прошу помочь расшифровать файлы сервера.

Произошло это сегодня ночью, логи FRST снял, также имеются файлы зашифрованный и оригинальный и письмо вымогателей.

Будем очень признательны за помощь, спасибо!

Ссылка на комментарий
Поделиться на другие сайты

Прилагаю файлы логов FRST,  зашифрованный файл "Autoruns.zip.BLOCK" (упакован в zip) и оригинальный файл "Autoruns.zip", а также письмо от вымогателей "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt"

 

Addition.txt Autoruns.zip Autoruns.zip.BLOCK.zip FRST.txt КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Поищите другую пару файлов. Размер их должен совпадать.

Ищите в резервных копиях, почте, на других ПК и т.д.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Некоторое время подождите.

 

Сначала чистим хвосты в системе, потом будет выдана расшифровка.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    File: C:\ProgramData\Microsoft\DRM\Fyiroroho\Nsilo.exe
    (taskeng.exe ->) () [Доступ не разрешён] C:\ProgramData\Microsoft\DRM\Fyiroroho\Nsilo.exe
    C:\ProgramData\Microsoft\DRM\Fyiroroho\Nsilo.exe
    Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\admin.KFS02\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\ADMIN3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\admind\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\admitry\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\admitry.KFS02\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\odmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\sadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Startup: C:\Users\Программист1с2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2013-08-22] () [Файл не подписан]
    Task: {2062DA64-3CBC-4990-835E-3CC246837161} - System32\Tasks\Microsoft\Windows\EntityFramework\NetFramework => C:\ProgramData\Microsoft\DRM\Fyiroroho\Nsilo.exe (Доступ не разрешён) <==== ВНИМАНИЕ
    Task: {D21C2804-1EC8-4ECE-A258-27B318E6966D} - System32\Tasks\WindowsUpdate => C:\Program Files\Common Files\Intel\svchost.exe (Нет файла) <==== ВНИМАНИЕ
    S4 IObitUnlocker; \??\E:\IObit Unlocker\IObitUnlocker.sys [X]
    FirewallRules: [{5B9BFABA-0464-4B11-A4EA-62F4224C9682}] => (Allow) LPort=21
    FirewallRules: [{BEC7BB6F-C31A-4C47-9173-26C61DA29EBA}] => (Allow) C:\ProgramData\Microsoft\DRM\Izanoma\NetFramework.exe => Нет файла
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Жаль, что вы дважды выполнили скрипт, хоть я просил один раз. Новый fixlog перезаписал результаты старого.

Но ладно. Прочтите личные сообщения.

Ссылка на комментарий
Поделиться на другие сайты

Спасибо огромное, процесс расшифровки пошел.

Скажите, пожалуйста, у меня еще 2 сервера в таком же зашифрованном состоянии -можно ли на них делать исправление c помощью вашего скрипта + frst64 и запускать расшифровку?

Ссылка на комментарий
Поделиться на другие сайты

Отлично!

 

14 часов назад, ADmitry73 сказал:

c помощью вашего скрипта + frst64

Нет, скрипт был написан только для этой системы.

Если на других нужна помощь в очистке следов, создайте для каждого отдельную тему и соберите логи Farbar.

 

Здесь в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2. 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты

  • Sandor изменил название на [РАСШИФРОВАНО]Зашифрован сервер адрес вымогателей lovestoryforyou@protonmail.com

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • komma77
      Автор komma77
      Добрый день. Зашифрованы сервер и компьютеры.  
      файлы и записка.zip Addition.txt FRST.txt
    • zimolev
      Автор zimolev
      на Добрый день. Словили шифрователь Zeppelin. Назаписка.zipчалось все фтп сервера, перекинулось на многие другие, Рабочие машины не пострадали, Все произошло в ночь с 29 на 30 июня 2025
      зашифрованныеФайлы.zip Addition.txt FRST.txt
    • F_Aliaksei
      Автор F_Aliaksei
      Добрый день. Зашифрованы компьютеры и сервера в домене.
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is HUQ7OPKpvUiVOz-fEMJo4L9kGcByDd1JvpaG1EG6QgE*KOZANOSTRA-HUQ7OPKpvUiVOz-fEMJo4L9kGcByDd1JvpaG1EG6QgE
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt Остатки МЦ Фомин.xls.rar СЧЕТ 10 ДЛЯ СПИСАНИЯ_ИТ.xls.rar
    • VladDos
      Автор VladDos
      11.06.25 в 4:50 были зашифрованы сервера с базами 1С, в ходе поисков были обнаружены инструменты хакеров и некоторые части дешифратора(который явно не должно было быть).
      Текстовый файлик с инструкцией для выкупа - стандартная схема. Да вот только не можем толку дать, что делать с ключем дешифрации и куда его девать чтобы расшифровать наши файлы.
      Зашифрованный файлик, декриптор и ключ прикладыDecryptor.zipваю.
    • evg-gaz
      Автор evg-gaz
      Зашифровали все файлы на сервереAddition.txtvirus.rarFRST.txt
×
×
  • Создать...