Перейти к содержанию

Зашифровано .rty, помогите расшифровать

tized-NSK
 Поделиться

Рекомендуемые сообщения

tized-NSK

tized-NSK

Опубликовано
Опубликовано
12.11.2022 в 14:28, thyrex сказал:

Ситуация следующая: файлы зашифрованы Xorist. Информация по расшифровке отправлена Вам в ЛС.
Но в вашем случае был некий симбиоз с чем-то иным: оставили в целости некоторые диски и разрушили структуру остальных.

Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы.
safety

safety

Опубликовано
Опубликовано

@tized-NSK,

Добавьте несколько зашифрованных файлов, записку о выкупе, (если найден в системе - файл шифровальщика в архиве с паролем virus), логи FRST, желательно пару чистый-зашифрованный для возможного подбора ключа.

tized-NSK

tized-NSK

Опубликовано
  • Автор
Опубликовано

Юзеры оставили комп включенным на выходные в понедельник данные уже были зашифрованы rty и удалены все диски кроме системного, система тоже не стартовала. С восстановлением данных из удаленных разделов я справился теперь хотелось бы попросить помощи в расшифровке документов.

Kaspersky XoristDecryptor не помог. Он видит файлы .rty задумывается при виде них но не расшифровывает

Addition.txt FRST.txt зашифрованные rty.rar КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.
  • Mark D. Pearlstone изменил название на Зашифровано .rty, помогите расшифровать
thyrex

thyrex

Опубликовано
Опубликовано

Сначала почистим мусор в системе, потом получите расшифровку.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-218705705-845436551-142918504-1001\...\Run: [YandexBrowserAutoLaunch_AC0BBD179EDF9C4BC03D0216A8DA467C] => "C:\Users\USerADM\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-218705705-845436551-142918504-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\USerADM\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-218705705-845436551-142918504-1001\...\RunOnce: [Uninstall 21.220.1024.0005\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\USerADM\AppData\Local\Microsoft\OneDrive\21.220.1024.0005\amd64" [0 2024-03-24] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-218705705-845436551-142918504-1001\...\RunOnce: [Uninstall 21.220.1024.0005] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\USerADM\AppData\Local\Microsoft\OneDrive\21.220.1024.0005" [0 2024-03-24] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Task: {F8B718BB-F073-4295-9753-88CE40E66B6A} - System32\Tasks\MEGA\MEGAcmd Update Task S-1-5-21-218705705-845436551-142918504-1001 => C:\Users\USerADM\AppData\Local\Temp\7ZipSfx.000\MegaCmd\MEGAcmdUpdater.exe  --emergency-update (Нет файла) <==== ВНИМАНИЕ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Art21
      Зашифрованы файлы
      Автор Art21
      Всем привет!  Такая же ситуация с файлами, помогите пож-та
      test.doc.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Magic_The
      рансомвер
      Автор Magic_The
      Здравствуйте, поймал данный шифратор, файлы восстановил, прошу убрать все файлы с этим окончанием ".wannacry", спасибо.
       
       
      FRST.txt Addition.txt
    • eansmol
      [РАСШИФРОВАНО] Вирус-шифровальщик, тип файлов CRYPTED!, расширение EnCiPhErEd (почта злоумышленников rana490345@yandex.ru)
      Автор eansmol
      Здравствуйте!
       
      Прошу помочь в борьбе с вирусом и расшифровать файлы.
      После заражения компьютера типы файлов стали CRYPTED!, а расширение переименовано в EnCiPhErEd.
      в файле КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt указана почта злоумышленников - rana490345@yandex.ru
       
      Заранее премного благодарен за помощь!
       
       
      CollectionLog-2018.09.04-10.22.zip
    • Zubarev211
      Зашифровали данные компьютера с помощью шифровальщика Xorist
      Автор Zubarev211
      Добрый день, поймали шифровальщик Xorist, зашифровали все файлы расширением *.er. Нужно было восстановить базу данных 1С. Из теневой папки получилось восстановить 1CD8.1CD
      Указанный файл не был зашифрован расширением .er, но при запуске выдавало ошибку о повреждении данных.

      Так же пытались вашим декриптором использовали пару 2х файлов, но так же получали ошибку(пробовали на документах ворд)

      Подскажите пожалуйста какие дальнейшие шаги нам нужно сделать, чтобы восстановить базу. Спасибо! 
    • foroven
      [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln
      Автор foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
×
×
  • Создать...