mircop [Расшифровано]Вирус не дает открыть никакой файл, обои с надписью "напишите сюда "тг" для решения вопроса" Lock. перед каждым файлом

[pokrac]

Давал ребенкоу поиграть в компьютер, что то скачивал, по итогу ночью открываю компьютер, а у меня все файлы с префиксом Lock. ничего не открывается, ну и смена обоев, с тг аккаунтом для решения вопроса

[kmscom]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

новую тему создавать не надо, продолжайте в этой. вложите в сообщение файл протоколов (логов) - CollectionLog-yyyy.mm.dd-hh.mm.zip

[pokrac]

CollectionLog-2024.11.10-22.26.zip

[thyrex]

Тут скорее шифрование файлов произошло.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[pokrac]

6 минут назад, thyrex сказал:

Тут скорее шифрование файлов произошло.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

 

пиво.rar

[thyrex]

C:\Users\armen\OneDrive\Рабочий стол\Lock.типовой договор.pdf и картинку обоев прикрепите в архиве к следующему сообщению.

[pokrac]

1 час назад, thyrex сказал:

C:\Users\armen\OneDrive\Рабочий стол\Lock.типовой договор.pdf и картинку обоев прикрепите в архиве к следующему сообщению.

Lock.типовой договор.pdf

[pokrac]

12 часов назад, thyrex сказал:

C:\Users\armen\OneDrive\Рабочий стол\Lock.типовой договор.pdf и картинку обоев прикрепите в архиве к следующему сообщению.

Если есть какой то способ скинуть файл фотку которая на рабочем то честно не знаю как такое сделать

[safety]

Возможно, что файлы зашифрованы этим:

https://id-ransomware.malwarehunterteam.com/identify.php?case=177f51f0ab82f820992e68f3569bf9aa34fb715a

возможно стоит попробовать проверить, хотя судя по статье  шифровальщик старого типа.

https://www.bleepingcomputer.com/forums/t/618457/microcop-ransomware-help-support-lock-mircop/

 

[safety]

да, файл может быть расшифрован.

Проверьте ЛС.

 

Пришлите еще несколько файлов Lock.* для проверки расшифровки.

+

этот файл

2024-11-08 20:29 - 2024-11-08 20:29 - 000077320 _____ () C:\Users\armen\AppData\Local\Lock.svchost.exe

----------

если антивирусами сканировали систему, добавьте, пожалуйста, логи сканирования в архиве без пароля

 

 

 

Изменено 11 ноября пользователем safety

[pokrac]

3 часа назад, safety сказал:

да, файл может быть расшифрован.

Проверьте ЛС.

 

Пришлите еще несколько файлов Lock.* для проверки расшифровки.

+

этот файл

2024-11-08 20:29 - 2024-11-08 20:29 - 000077320 _____ () C:\Users\armen\AppData\Local\Lock.svchost.exe

----------

если антивирусами сканировали систему, добавьте, пожалуйста, логи сканирования в архиве без пароля

 

Lock.Асимметричное шифрование.docx

 

 

Lock.скоб2.xls miniagent.log

1 минуту назад, pokrac сказал:

 

Lock.скоб2.xls 64 kB · 0 загрузок miniagent.log 118 kB · 0 загрузок логи.zip

Вот еще логи, извиняюсь что не разом архивом, забыл

2 минуты назад, pokrac сказал:

 

Lock.скоб2.xls miniagent.log

Вот еще логи, извиняюсь что не разом архивом, забыл

локсвхост.zipИ сам свхост

[safety]

Хорошо, отвечу немного позже

[pokrac]

1 минуту назад, safety сказал:

Хорошо, отвечу немного позже

Хорошо, спасибо

[safety]

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
AlternateDataStreams: C:\ProgramData:err [1950]
AlternateDataStreams: C:\Windows\System32:tdsrinu.gfc [5882]
AlternateDataStreams: C:\Users\All Users:err [1950]
AlternateDataStreams: C:\Users\Все пользователи:err [1950]
AlternateDataStreams: C:\ProgramData\Application Data:err [1950]
AlternateDataStreams: C:\Users\armen\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\armen\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [3978]
2024-11-08 20:29 - 2024-11-08 20:29 - 000077320 _____ () C:\Users\armen\AppData\Local\Lock.svchost.exe
2024-11-07 16:27 - 2024-11-08 20:27 - 000000000 ____D C:\SolaraTab
Startup: C:\Users\armen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.lnk [2024-11-10]
ShortcutTarget: svchost.lnk -> C:\Users\armen\AppData\Local\svchost.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2024-11-08 20:29 - 2024-11-08 20:29 - 000077320 _____ () C:\Users\armen\AppData\Local\Lock.svchost.exe
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[pokrac]

4 минуты назад, safety сказал:

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
AlternateDataStreams: C:\ProgramData:err [1950]
AlternateDataStreams: C:\Windows\System32:tdsrinu.gfc [5882]
AlternateDataStreams: C:\Users\All Users:err [1950]
AlternateDataStreams: C:\Users\Все пользователи:err [1950]
AlternateDataStreams: C:\ProgramData\Application Data:err [1950]
AlternateDataStreams: C:\Users\armen\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\armen\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [3978]
2024-11-08 20:29 - 2024-11-08 20:29 - 000077320 _____ () C:\Users\armen\AppData\Local\Lock.svchost.exe
2024-11-07 16:27 - 2024-11-08 20:27 - 000000000 ____D C:\SolaraTab
Startup: C:\Users\armen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.lnk [2024-11-10]
ShortcutTarget: svchost.lnk -> C:\Users\armen\AppData\Local\svchost.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2024-11-08 20:29 - 2024-11-08 20:29 - 000077320 _____ () C:\Users\armen\AppData\Local\Lock.svchost.exe
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Fixlog.txt