Перейти к содержанию

Зашифрованы файлы Excel

Kirill1111
 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано

C:\ИНФОРМАЦИЯ_О_ДЕШИФРОВКЕ_ФАЙЛОВ.TXT

Прикрепите файл.

 

Что в этих папках находится?

 

2014-04-28 07:54:55 ----D---- C:\Program Files (x86)\winrar_update

2014-04-28 07:54:46 ----D---- C:\Program Files (x86)\Росс НИИ информер

 

Эту программу сами себе устанавливали?

 

DameWare Mini Remote

 

Менялось ли расширение у файлов?

Kirill1111

Kirill1111

Опубликовано
  • Автор
Опубликовано

 

C:\ИНФОРМАЦИЯ_О_ДЕШИФРОВКЕ_ФАЙЛОВ.TXT

Прикрепите файл.

 

Что в этих папках находится?

 

2014-04-28 07:54:55 ----D---- C:\Program Files (x86)\winrar_update

2014-04-28 07:54:46 ----D---- C:\Program Files (x86)\Росс НИИ информер

 

Эту программу сами себе устанавливали?

 

DameWare Mini Remote

 

Менялось ли расширение у файлов?

 

 

 Содержимое папки C:\Program Files (x86)\winrar_update
 
28.04.2014  16:55    <DIR>          .
28.04.2014  16:55    <DIR>          ..
28.04.2014  16:55           822 005 checkdata.dif
28.04.2014  16:57                59 update.bin
14.07.2009  02:19         1 541 120 winrar.exe
28.04.2014  15:15            39 780 доверенность8.jpg.rcb
28.04.2014  13:08               356 ИНФОРМАЦИЯ_О_ДЕШИФРОВКЕ_ФАЙЛОВ.TXT
28.04.2014  15:16            43 533 карта от 14.02.12.xls.rcb
 
 Содержимое папки C:\Program Files (x86)\Росс НИИ информер
 
28.04.2014  08:22    <DIR>          .
28.04.2014  08:22    <DIR>          ..
28.04.2014  08:22    <DIR>          Информационное сообщение
28.04.2014  13:08               356 ИНФОРМАЦИЯ_О_ДЕШИФРОВКЕ_ФАЙЛОВ.TXT
 
 Содержимое папки C:\Program Files (x86)\Росс НИИ информер\Информационное сообщение
 
28.04.2014  08:22    <DIR>          .
28.04.2014  08:22    <DIR>          ..
28.04.2014  13:08         1 541 120 winrar.exe
28.04.2014  13:08               356 ИНФОРМАЦИЯ_О_ДЕШИФРОВКЕ_ФАЙЛОВ.TXT
 

Dameware ставил я. 

Расширение не менялось, файлы на зараженном компе открываются, на других нет.

ИНФОРМАЦИЯ_О_ДЕШИФРОВКЕ_ФАЙЛОВ.TXT

mike 1

mike 1

Опубликовано
Опубликовано

Совсем свеженький шифратор.  :(

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 
begin
QuarantineFileF('C:\Program Files (x86)\winrar_update', '*', true, ' ', 0, 0);
QuarantineFileF('C:\Program Files (x86)\Росс НИИ информер', '*', true, ' ', 0, 0);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
 

quarantine.zip из папки AVZ отправьте через данную форму.
 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 

 

thyrex

thyrex

Опубликовано
Опубликовано

+ в срочном порядке (после выполнения предыдущего указания) убить в этих папках файл  winrar.exe

 

+ проверьте, если в списках служб такая - WCS

Kirill1111

Kirill1111

Опубликовано
  • Автор
Опубликовано
 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 

+ в срочном порядке (после выполнения предыдущего указания) убить в этих папках файл  winrar.exe

 

+ проверьте, если в списках служб такая - WCS

файлы прибил, службы нет

MBAM-log-2014-04-29 (12-07-10).txt

mike 1

mike 1

Опубликовано
Опубликовано
Папки удалите:

 




C:\Program Files (x86)\winrar_update

C:\Program Files (x86)\Росс НИИ информер


Пока больше помочь особо нечем. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
    • tamerlan
      Зашифровались файлы
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • robocop1974
      Зашифрованные файлы
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
    • MidgardS1
      Зашифрованы файлы
      Автор MidgardS1
      Привет! Столкнулись с таким же шифровальщиком. Подскажите, есть возможность расшифровать данные?
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы.
×
×
  • Создать...