phobos шифровальщик deep

[webbuilding 0]

Два файл сервера, с документами, базами 1с, картинками - зашифрованы, расширение .deep
В каждой папке info.txt с требованием выкупа
!!!All of your files are encrypted!!! To decrypt them send e-mail to this address: miltonqq@tuta.io. If we don't answer in 24h, send messge to telegram: @DataSupport911
во вложении логи FRST и архив с зашиврованными файлами (примеры).
Подскажите, что делать?
Уверенности в том что зловреды расшифруют файлы нет, даже если найдем 0.25 биткоина, которые требуют.
Спасибо

deep.zip FRST.txt Addition.txt

[safety 101]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит систему

Start::
(C:\Users\sklad\Music\Sqlll.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\cmd.exe <2>
(C:\Users\sklad\Music\Sqlll.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\SysWOW64\mshta.exe <5>
(explorer.exe ->) () [Файл не подписан] C:\Users\sklad\Music\Sqlll.exe <2>
HKLM\...\Run: [Sqlll] => C:\Users\sklad\AppData\Local\Sqlll.exe [57344 2024-02-04] () [Файл не подписан]
HKU\S-1-5-21-3015491378-1817679019-678914027-3606\...\Run: [Sqlll] => C:\Users\sklad\AppData\Local\Sqlll.exe [57344 2024-02-04] () [Файл не подписан]
IFEO\taskmgr.exe: [Debugger] Hotkey Disabled
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Sqlll.exe [2024-02-04] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-05-09 17:11 - 2024-05-09 17:11 - 000005535 _____ C:\Users\sklad\Desktop\info.hta
2024-05-09 17:11 - 2024-05-09 17:11 - 000000170 _____ C:\Users\sklad\Desktop\info.txt
2024-05-09 17:11 - 2024-05-09 17:11 - 000005535 _____ C:\info.hta
2024-05-09 17:11 - 2024-05-09 17:11 - 000000170 _____ C:\info.txt
2024-05-09 00:32 - 2024-05-09 01:06 - 000000000 ____D C:\Users\sklad\AppData\Roaming\Process Hacker 2
2024-05-09 00:31 - 2024-02-04 12:31 - 000057344 _____ C:\Users\sklad\AppData\Local\Sqlll.exe
2024-05-09 00:27 - 2024-05-09 00:47 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-05-09 00:27 - 2024-05-09 00:41 - 000000000 ____D C:\Program Files\Process Hacker 2
Reboot:
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

 

Далее,

 

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.