Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте, помогите пожалуйста с расшифровкой файлов.

Поймал шифровальщика по RDP.  Вирус найти не удалось.
Система не переустанавливалась. Логи и файлы прилагаю.

 

 

FRST.txt Addition.txt

files_and_warning.zip

Изменено пользователем ppa
Добавил файлы
Ссылка на сообщение
Поделиться на другие сайты

Шифровальщик все еще активен. Но то, что он успел зашифрован, вернуть не получится.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-800540316-3680182314-1141467113-1381\...\Run: [MSFEEditor] => C:\Windows\SysWOW64\dvdplay.exe [10752 2016-07-16] (Microsoft Windows -> Microsoft Corporation)
C:\Windows\SysWOW64\dvdplay.exe
2022-08-24 15:06 - 2022-08-24 15:06 - 000000040 _____ C:\Users\student\Desktop\ClearLock.ini
2022-08-24 15:06 - 2022-08-24 15:06 - 000000000 ____H C:\Users\student\Documents\Default.rdp
2022-08-24 15:06 - 2010-09-20 20:47 - 000451221 _____ (Swan River Computers) C:\Users\student\Desktop\ClearLock.exe
2022-08-24 14:27 - 2022-08-24 14:31 - 000002454 _____ C:\ProgramData\#_README-WARNING_#.TXT
2022-08-24 14:27 - 2022-08-24 14:30 - 000002454 _____ C:\Users\student\Downloads\#_README-WARNING_#.TXT
2022-08-24 14:27 - 2022-08-24 14:30 - 000002454 _____ C:\Users\student\Documents\#_README-WARNING_#.TXT
2022-08-24 14:27 - 2022-08-24 14:30 - 000002454 _____ C:\Users\student\Desktop\#_README-WARNING_#.TXT
2022-08-24 14:27 - 2022-08-24 14:30 - 000002454 _____ C:\Users\student\#_README-WARNING_#.TXT
2022-08-24 14:27 - 2022-08-24 14:30 - 000002454 _____ C:\Users\Public\Downloads\#_README-WARNING_#.TXT
2022-08-24 14:27 - 2022-08-24 14:30 - 000002454 _____ C:\Users\Public\Documents\#_README-WARNING_#.TXT
2022-08-24 14:27 - 2022-08-24 14:30 - 000002454 _____ C:\Users\Public\#_README-WARNING_#.TXT
2022-08-24 14:27 - 2022-08-24 14:30 - 000002454 _____ C:\Users\Default\Downloads\#_README-WARNING_#.TXT
2022-08-24 14:27 - 2022-08-24 14:30 - 000002454 _____ C:\Users\Default\Documents\#_README-WARNING_#.TXT
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Runeolf
      От Runeolf
      Добрый день. Нет возможности узнать с чего началось заражение, т.к. шифровальщик объявился в локальной сети, утром уже всё было порушено. Многие файлы exe, txt, exlsx, xml и прочее зашифрованы и переименованы в filename.RUSSIA Cам вирус найти не удалось. Прикладываю логи и пример файлов.
      Архив для Касперского.rar Addition.txt FRST.txt Search.txt
    • On-Lite
      От On-Lite
      Добрый день.
      С 9-10 утра 23.01.2023 числа обнаружен сетевой вирус шифровальщик azadi33@keemail.me
      2 компа заражены. 
      зашифровал все файлы, в т.ч. файловые базы данных на сервере 1С.
      т.е. ПК пользователя, у пользователя зашифровал и пролез по RDP сеансу на сервер и всё зашифровал на сервере.
      Огромная просьба помочь расшифровать базы данных:
      Текст сообщения
      How To Restore Files
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      To restore the system write to both : azadi33@smime.ninja and azadi33@keemail.me
      Your Decryption ID: 23868595F549B397
       
       
       
       
       
      FRST.zip 1Cv7.DD.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip 1SBLOB.CDX.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip
    • MaxxDamage
      От MaxxDamage
      Здравствуйте. Взломали компьютер, зашифровали файлы. Не особо надеюсь, но мало ли, нужно попробовать все варианты
      farbar.rar Proxima.rar
    • Kiiiiiisa
      От Kiiiiiisa
      Заражение через RDP, у всех файлов появилось расширение .FastSpyfastspy.rarAddition.txtFRST.txt
    • EXPO_savvin
      От EXPO_savvin
      Здравствуйте, поймали шифровальщика, зашифрованы файлы на компьютере жертвы и на сетевом диске (куда был доступ).
      Антивирус только встроенный на вин 10. 
      Можно ли что-то сделать?
      FRST.txtXcLxE89tJ.README.txtЗашифрованный файл.rarAddition.txt
×
×
  • Создать...