Перейти к содержанию

Зашифровано .rty, помогите расшифровать

tized-NSK
 Share Подписчики 0

Рекомендуемые сообщения

tized-NSK

tized-NSK 0

Опубликовано
Опубликовано
12.11.2022 в 14:28, thyrex сказал:

Ситуация следующая: файлы зашифрованы Xorist. Информация по расшифровке отправлена Вам в ЛС.
Но в вашем случае был некий симбиоз с чем-то иным: оставили в целости некоторые диски и разрушили структуру остальных.

Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы.
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано

@tized-NSK,

Добавьте несколько зашифрованных файлов, записку о выкупе, (если найден в системе - файл шифровальщика в архиве с паролем virus), логи FRST, желательно пару чистый-зашифрованный для возможного подбора ключа.

Ссылка на сообщение
Поделиться на другие сайты
tized-NSK

tized-NSK 0

Опубликовано
  • Автор
Опубликовано

Юзеры оставили комп включенным на выходные в понедельник данные уже были зашифрованы rty и удалены все диски кроме системного, система тоже не стартовала. С восстановлением данных из удаленных разделов я справился теперь хотелось бы попросить помощи в расшифровке документов.

Kaspersky XoristDecryptor не помог. Он видит файлы .rty задумывается при виде них но не расшифровывает

Addition.txt FRST.txt зашифрованные rty.rar КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.
Ссылка на сообщение
Поделиться на другие сайты
  • Mark D. Pearlstone changed the title to Зашифровано .rty, помогите расшифровать
thyrex

thyrex 1 419

Опубликовано
Опубликовано

Сначала почистим мусор в системе, потом получите расшифровку.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-218705705-845436551-142918504-1001\...\Run: [YandexBrowserAutoLaunch_AC0BBD179EDF9C4BC03D0216A8DA467C] => "C:\Users\USerADM\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-218705705-845436551-142918504-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\USerADM\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-218705705-845436551-142918504-1001\...\RunOnce: [Uninstall 21.220.1024.0005\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\USerADM\AppData\Local\Microsoft\OneDrive\21.220.1024.0005\amd64" [0 2024-03-24] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-218705705-845436551-142918504-1001\...\RunOnce: [Uninstall 21.220.1024.0005] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\USerADM\AppData\Local\Microsoft\OneDrive\21.220.1024.0005" [0 2024-03-24] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Task: {F8B718BB-F073-4295-9753-88CE40E66B6A} - System32\Tasks\MEGA\MEGAcmd Update Task S-1-5-21-218705705-845436551-142918504-1001 => C:\Users\USerADM\AppData\Local\Temp\7ZipSfx.000\MegaCmd\MEGAcmdUpdater.exe  --emergency-update (Нет файла) <==== ВНИМАНИЕ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Igor77
      (Расшифровано) Шифровальщик win32/sorikrypt
      От Igor77
      Доброго дня!
      Пойман шифровальщик, опознанный антивирусом от мелкософта как win32/sorikrypt. Предыстория появления: на компе для удаленной работы включен rdp, пользователи, как выяснилось, могли запускать браузер в rdp сеансе, соответственно скачивать и открывать файлы. В диспетчере задач запущено несколько процессов от левого пользователя (ранее не создавался) с правами администратора. Процессы прибил, пользователь был отключен. Зашифрованные файлы имеют расширение .CoV и тип CRYPTED! Ни один из доступных инструментов для расшифровки не помог.  Вредоносные файлы, какие нашел - в архиве virus.zip. Лог и FRST, образцы зашифрованных файлов и требование выкупа в архиве files.zip
      files.zip virus.zip
    • ZloyM
      Файлы зашифрованы. В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml
      От ZloyM
      Утром при входе обнаружилось, что файлы зашифрованы, имеется письмо с требованием денег.
      В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml - запушены утром пользователями, которые точно не могли это сделать.
      От интернета отключил. Если не отключать, то примерно раз в 10 минут пользователя выкидывает и при этом с флешки удаляются все файлы и на нее помещается копия письма с требованием денег.
      CureIt и KVRT нашли только RDPWrap.
      CollectionLog-2023.10.27-13.29.zip
    • Сергей СР
      Помогите восстановить жесткий диск после шифровальшика
      От Сергей СР
      Доброго времени суток!
       
      Поймали шифровальшика на старый домашний компьютер. После переговоров и оплаты получили от злоумышленников ключ, программу и файлы, которые якобы должны были расшифровать данные . Программа по видимому была пустышкой для вымогания денег. На компьютере установлено два физических диска: SSD с ОС и жесткий диск с данными на 1Тб. До взлома на ЖД был один единственный раздел, занимавший всё свободное пространство. На диск было записано ~350 - 400 Гб данных. Сейчас там два раздела (Том D 391 Гб и E 97 Гб) и неразмеченная область. Можно ли как-то восстановить данные с жесткого диска? Заранее спасибо.
       

      Addition.txt FRST.txt Зашифрованные файлы и сообщение.zip
    • moises ribeiro
      (.7ch@v3s)
      От moises ribeiro
      Fui hackeado por essa extensão, alguém poderia me ajudar? 
      Dados Criptografados (.7ch@v3s)
      A unica forma de desbloquear os arquivos é
      adquirir o Decryptor+Chave respectivo a este ID-72371SD
      envie o id no email para contato: 
       recoverydatablock@proton.me
      prazo max para o contato  20/06/2023 16:00 PM
      - N delete arquivos trancados
      - N não renomeie os arquivos trancados .7ch@v3s
      - N  não poste esta mensagem em nenhum site
        nem denuncie pois podem bloquear este email. 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Интервью с экспертами «Лаборатории Касперского»".
    • iLuminate
      [РАСШИФРОВАНО] Вымогатель зашифровал файлы "VIXOT" "TOVIX"
      От iLuminate
      Здраствуйте, если есть возможность и желание помогите пожалуйста. Заразились через почту либо флешку. Все зашифровано.

      Addition.txt FRST.txt HOW TO DECRYPT FILES.txt ЗАШИФРОВАННЫЕ ФАЙЛЫ.zip
×
×
  • Создать...