Перейти к содержанию

Зашифровано .rty, помогите расшифровать


Рекомендуемые сообщения

12.11.2022 в 14:28, thyrex сказал:

Ситуация следующая: файлы зашифрованы Xorist. Информация по расшифровке отправлена Вам в ЛС.
Но в вашем случае был некий симбиоз с чем-то иным: оставили в целости некоторые диски и разрушили структуру остальных.

Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы.
Ссылка на комментарий
Поделиться на другие сайты

@tized-NSK,

Добавьте несколько зашифрованных файлов, записку о выкупе, (если найден в системе - файл шифровальщика в архиве с паролем virus), логи FRST, желательно пару чистый-зашифрованный для возможного подбора ключа.

Ссылка на комментарий
Поделиться на другие сайты

Юзеры оставили комп включенным на выходные в понедельник данные уже были зашифрованы rty и удалены все диски кроме системного, система тоже не стартовала. С восстановлением данных из удаленных разделов я справился теперь хотелось бы попросить помощи в расшифровке документов.

Kaspersky XoristDecryptor не помог. Он видит файлы .rty задумывается при виде них но не расшифровывает

Addition.txt FRST.txt зашифрованные rty.rar КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.
Ссылка на комментарий
Поделиться на другие сайты

  • Mark D. Pearlstone changed the title to Зашифровано .rty, помогите расшифровать

Сначала почистим мусор в системе, потом получите расшифровку.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-218705705-845436551-142918504-1001\...\Run: [YandexBrowserAutoLaunch_AC0BBD179EDF9C4BC03D0216A8DA467C] => "C:\Users\USerADM\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-218705705-845436551-142918504-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\USerADM\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-218705705-845436551-142918504-1001\...\RunOnce: [Uninstall 21.220.1024.0005\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\USerADM\AppData\Local\Microsoft\OneDrive\21.220.1024.0005\amd64" [0 2024-03-24] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-218705705-845436551-142918504-1001\...\RunOnce: [Uninstall 21.220.1024.0005] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\USerADM\AppData\Local\Microsoft\OneDrive\21.220.1024.0005" [0 2024-03-24] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Task: {F8B718BB-F073-4295-9753-88CE40E66B6A} - System32\Tasks\MEGA\MEGAcmd Update Task S-1-5-21-218705705-845436551-142918504-1001 => C:\Users\USerADM\AppData\Local\Temp\7ZipSfx.000\MegaCmd\MEGAcmdUpdater.exe  --emergency-update (Нет файла) <==== ВНИМАНИЕ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • Sergio1900
      От Sergio1900
      файл сканирования и пример.zip
    • Mitesoro
      От Mitesoro
      Добрый день зашифровалось все что было на ноутбуке и после этого все файлы начали выглядеть вот так  DSC_0235.JPG[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED]
       
      Ноутбук был нужен, на нем поменяли жесткий диск продолжили работу.
       
      во вложении приложены файлы до шифрования и после, а также логи сделанные на ноутбуке, где были установлены 2 жестких диска (нормальный и с зашифрованными файлами).
       
      не очень могу сообразить как сделать логи  с жесткого диска который зашифрован (не запускается винда с поврежденного диска).
       
      подскажите что-то можно сделать? 
       
      Красный Труженник.doc[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED].id-F40111D9.[filesneed@aol.com].VWA[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED] Красный Труженник.doc CollectionLog-2020.05.12-22.04.zip
    • tubizzz
      От tubizzz
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
    • DimonD
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...