Перейти к содержанию

Рекомендуемые сообщения

Файлы на компьютере документы и изображения стали с расширением .enigma.

Вроде очистил от вирусов.

KVRT не обнаружил никаких вредоносных программ.

Как бороться с бедой, где и как можно расшифровать данные, т.е. получить дешифровщик?

Логи во вложении.

 

CollectionLog-2016.06.27-22.29.zip

Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CloseProcesses:
HKU\S-1-5-21-3662075925-130438650-1892365626-1000\...\Run: [cebccfbffdceaaaf] => "C:\Users\8BAD~1\AppData\Local\Temp\1a662c74aa1d153baae47d8c548dac33.exe"  <===== ATTENTION
HKU\S-1-5-21-3662075925-130438650-1892365626-1000\...\Run: [cebccfbffdceaaafba] => "C:\Users\8BAD~1\AppData\Local\Temp\enigma.hta"  <===== ATTENTION
CHR HKU\S-1-5-21-3662075925-130438650-1892365626-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1431938042&z=7407cd43de7a6e2680198dagdz4ccgbt8c8bbecz0o&from=ient05180&uid=ST500DM002-1BD142_W3T3L8TLXXXXW3T3L8TL&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1431938059&from=xtab&uid=1CBF5FD636A749aaA370E122D6BAADFE
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1431938042&z=7407cd43de7a6e2680198dagdz4ccgbt8c8bbecz0o&from=ient05180&uid=ST500DM002-1BD142_W3T3L8TLXXXXW3T3L8TL&q={searchTerms}
HKU\S-1-5-21-3662075925-130438650-1892365626-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=dspp&ts=1431938059&from=xtab&uid=1CBF5FD636A749aaA370E122D6BAADFE&q={searchTerms}
HKU\S-1-5-21-3662075925-130438650-1892365626-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1431938059&from=xtab&uid=1CBF5FD636A749aaA370E122D6BAADFE
HKU\S-1-5-21-3662075925-130438650-1892365626-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1431938059&from=xtab&uid=1CBF5FD636A749aaA370E122D6BAADFE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3662075925-130438650-1892365626-1000 -> 65EA3BDFEA05C2BBEE21710DA4D193AD URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3662075925-130438650-1892365626-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3662075925-130438650-1892365626-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3662075925-130438650-1892365626-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3662075925-130438650-1892365626-1000 -> {F4137D40-259A-4FB3-B780-F8C39B303C41} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hppp&ts=1431938059&from=xtab&uid=1CBF5FD636A749aaA370E122D6BAADFE"
CHR DefaultSearchURL: Default -> hxxp://www.istartsurf.com/web/?type=dspp&ts=1431938059&from=xtab&uid=1CBF5FD636A749aaA370E122D6BAADFE&q={searchTerms}
CHR DefaultSearchKeyword: Default -> istartsurf
CHR Extension: (Chrome Media Router) - C:\Users\Алена\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-06-24]



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
Ссылка на сообщение
Поделиться на другие сайты
Юрий Черкасов

Скажите, а проблема в итоге решилась?

 

Скорее всего вот это вложение в письме стало проблемой шифрования. Пароль от архива 111. Заранее благодарен

Addition.txt

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Юрий Черкасов создавайте свою тему, а не пишите в чужой теме! Последующие ваши сообщения в этой теме я буду удалять. 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • tized-NSK
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • AlexDreyk
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • dsever
      От dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
    • vyz-project
      От vyz-project
      На рабочем компьютере 19.11.23 начиная примерно в 22:30 (судя по дате изменения) были зашифрованы все файлы. Теперь они все с расширением .id[705C9723-3351].[blankqq@tuta.io].elpy
      На данный момент зараженный компьютер изолирован. Но он был в локальной сети до этого момента.
      Логи и файлы приложил.
      pdf_files.7z Addition.txt FRST.txt
×
×
  • Создать...