Перейти к содержанию

Данные зашифрованы UVE. Просят деньги за расшифровку. Что делать?

Strelezzz
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

да есть в корне записка о выкупе, и это может быть только если диск С расшарен для записи.

В противном случае запуск шифровальщика был, да сплыл, или скрылся.

а так похоже что профиль C:\Users\Admin в общем доступе.

 

В той папке проверьте что есть:

2025-09-07 19:54 C:\Users\Admin\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D

есть там такие файлы как session.tmp?

 

Изменено пользователем safety
  • Ответов 32
  • Создана
  • Последний ответ

Топ авторов темы

  • Strelezzz

    17

  • safety

    16

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

safety

safety

Опубликовано
Опубликовано (изменено)

Такой скрипт выполните в FRST

  

Start::
Unlock:: C:\Users\Admin\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D
Reboot::
End::

 

после перезагрузки системы еще раз проверьте что в этой папке.

Результат уже проверю завтра, время у меня позднее.

Изменено пользователем safety
Strelezzz

Strelezzz

Опубликовано
  • Автор
Опубликовано (изменено)
8 часов назад, safety сказал:

Такой скрипт выполните в FRST

  

Start::
Unlock:: C:\Users\Admin\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D
Reboot::
End::

 

после перезагрузки системы еще раз проверьте что в этой папке.

Результат уже проверю завтра, время у меня позднее.

Всё также нет доступа к этой папке (после копирования скрипта и перезагрузки). 

Fixlog.txt

2025-09-13_18-32-32.png

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Поправил скрипт, проверьте выполнение еще раз.

Strelezzz

Strelezzz

Опубликовано
  • Автор
Опубликовано
7 часов назад, safety сказал:

Поправил скрипт, проверьте выполнение еще раз.

Всё еще нет доступа к папке

Fixlog.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Скрипт был исправлен, смотрите выше.

 

Судя по фикслогу вы запустили прежний скрипт, до внесенного исправления. Возможно, по этой причине папка не разблокирована.

Цитата

fixlist содержимое:
*****************
Start::
Unlock C:\Users\Admin\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D
Reboot::
End::
*****************

 

Изменено пользователем safety
Strelezzz

Strelezzz

Опубликовано
  • Автор
Опубликовано
20 минут назад, safety сказал:

Скрипт был исправлен, смотрите выше.

 

Судя по фикслогу вы запустили прежний скрипт, до внесенного исправления. Возможно, по этой причине папка не разблокирована.

 

Мне казалось, я запустил исправленный.

Запустил теперь и другой. Доступ так и не появился...

Fixlog.txt

safety

safety

Опубликовано
Опубликовано

С одинарной кавычкой еще проверьте:

  

Start::
Unlock: C:\Users\Admin\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D
Reboot::
End::

 

Strelezzz

Strelezzz

Опубликовано
  • Автор
Опубликовано
21 час назад, safety сказал:

да есть в корне записка о выкупе, и это может быть только если диск С расшарен для записи.

В противном случае запуск шифровальщика был, да сплыл, или скрылся.

а так похоже что профиль C:\Users\Admin в общем доступе.

 

В той папке проверьте что есть:

2025-09-07 19:54 C:\Users\Admin\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D

есть там такие файлы как session.tmp?

 

Последний скрипт помог. В папке два файла. Среди них и session.tmp. Время создания совпадает с предполагаемым временем распространения вируса.

Fixlog.txt

Strelezzz

Strelezzz

Опубликовано
  • Автор
Опубликовано
2 минуты назад, safety сказал:

А еще есть кроме session.tmp?

Everything.db весом 70Мб

safety

safety

Опубликовано
Опубликовано

Да, эта папка с шифровальщиком.

Странно что ее не было в обычном списке, по логам FRST отобразилась лишь в списке заблокированных каталогов.

Возможно что файлы шифровальщика были самоудалены после завершения шифрования.

Так что у вас точно было как минимум два запуска: на первом и втором ПК.

Strelezzz

Strelezzz

Опубликовано
  • Автор
Опубликовано
1 минуту назад, safety сказал:

Да, эта папка с шифровальщиком.

Странно что ее не было в обычном списке, по логам FRST отобразилась лишь в списке заблокированных каталогов.

Возможно что файлы шифровальщика были самоудалены после завершения шифрования.

Так что у вас точно было как минимум два запуска: на первом и втором ПК.

Я так понимаю, на ПК №2 угроза купирована. Как быть с ПК №1? мои действия?

safety

safety

Опубликовано
Опубликовано (изменено)

ПК 1 очищен скриптом. Эту папку

C:\Users\Admin\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D

после разблокировки можете вручную удалить.

ПК 2 так же очищен.

По расшифровке файлов я ответил вам выше.

Изменено пользователем safety
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Strelezzz
      Данные были зашифрованы UVE
      Автор Strelezzz
      Добрый день!
       
      Ранее подвергся шифрованию, после ключи получили.
      Прошу проверить логи сканирования после дешифровки файлов.
       
      Заранее благодарен!
      Addition.txt FRST.txt
    • tr3ton51
      Шифровальщик поработал над компьютером бухгалтера
      Автор tr3ton51
      Добрый день, сегодня поймали шифровальщик вот с таким содержимым,
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your decryption ID is ****gk*WWWWW-***gk
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - victor_ia@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      возможно ли спасти данные? прикрепил зашифрованные картинки
      How-to-decrypt.txt картинки.zip
    • Gulzat
      Вирус шифровальщик, помогите расшифровать файлы. Расширение WwaNPUAD5F4uG5ySBCut6Zug6ICEkhGSUcX_eK8Nlk
      Автор Gulzat
      Скорее всего вирус проник через RDP, распространился по доступным сетевым папкам, затронул только диск D, диск С не трогал. В готовых на сайте дешифровщиках не виден. Спасибо.
      Addition.txt FRST.txt virus.7z
    • neo2005
      Шифровальщик Zimmer
      Автор neo2005
      Добрый день! Нужна помощь в борьбе с шифровальщиком Zimmer. Много важных файлов на компьютере и теперь все зашифровано( Файлы и логи приложены.
      Addition.txt FRST.txt INFO_TO_DECRYPT_ZIMMER1488.txt
    • Ired
      Шифровальщик forumkasperskyclubru@msg.ws
      Автор Ired
      Здравствуйте.
      Поймали эту заразу.
      К сожалению, перед обращением на форум прошелся утилитами Kaspersky Rescue Disk и DrWeb LiveDisk.
      Письма от злоумышленников не обнаружил, возможно, найдется на еще одной, попавшей под удар, машине.
      Логи FRST прилагаю. Также во вложении архив с парой зашифрованных файлов под паролем virus2025
      Прошу посильной помощи.
      FRST_logs.7z EncryptedFiles.7z
×
×
  • Создать...