Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте, ночью зашифровались файлы на рабочей станции, возможно ли как-то очистить систему от этой гадости? На расшифровку файлов даже не надеюсь, да и переустанавливать систему не хотелось бы. Нужные файлы прикладываю

Logs.zip Files.zip

Опубликовано

Этот файл сохраните, он будет необходим для расшифровки, когда она станет возможной

2025-06-02 22:40 - 2025-06-02 22:40 - 000002032 _____ C:\WINDOWS\system32\HOP.KEY

 

Систему сканировали с помощью Cureit или KVRT? Можете предоставить отчеты о сканировании? в архиве, без пароля.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKU\S-1-5-21-143488166-2321056295-3695880314-1003\...\Run: [MicrosoftEdgeAutoLaunch_131FA15FACB980B6A974070295B3176D] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start (Нет файла)
Startup: C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dectryption-guide.txt [2025-06-02] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk.[MJ-BD3401958726](lock01ant@gmail.com ).ant_dec [2025-06-02]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Dectryption-guide.txt [2025-06-02] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Task: {F3350EDB-1934-4687-B87A-A7AF16840C97} - System32\Tasks\RDP Wrapper Autoupdate => C:\WINDOWS\system32\cmd.exe [376832 2025-05-29] (Microsoft Windows -> Microsoft Corporation) -> /C "C:\Program Files\RDP Wrapper\autoupdate.bat" -log <==== ВНИМАНИЕ
2025-06-02 22:45 - 2025-06-02 22:45 - 000000864 _____ C:\WINDOWS\Tasks\Dectryption-guide.txt
2025-06-02 22:45 - 2025-06-02 22:45 - 000000864 _____ C:\WINDOWS\SysWOW64\Drivers\Dectryption-guide.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Денис А
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • progig
      Автор progig
      Доброго времени суток 30.07 все ПК сети введенные  в домен одновременно перезагрузились. Виндовс больше не запустился, все остановилось на "восстановлении системы". Система не восстанавливалась, у некоторых ПК диски вовсе упали в RAW. Поверх был установлен виндовс, но старые файлы пользователей так и не открылись( у всех файлов(кроме .txt, которые открываются) одна и та же дата/время изменения файла с минутной разницей). Файл FRST сделан из под командной строки "восстановления системы". Файл Addition не формируется. Записки о выкупе не обнаружено.
      Прикрепляю файл FRST и зашифрованные файлы. FRST.rarзашифрованные файлы.rar
    • alexchernobylov
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


    • astraoren
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Lingon
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
×
×
  • Создать...