Перейти к содержанию

Данные зашифрованы UVE. Просят деньги за расшифровку. Что делать?


Рекомендуемые сообщения

Опубликовано (изменено)

да есть в корне записка о выкупе, и это может быть только если диск С расшарен для записи.

В противном случае запуск шифровальщика был, да сплыл, или скрылся.

а так похоже что профиль C:\Users\Admin в общем доступе.

 

В той папке проверьте что есть:

2025-09-07 19:54 C:\Users\Admin\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D

есть там такие файлы как session.tmp?

 

Изменено пользователем safety
  • Ответов 32
  • Создана
  • Последний ответ

Топ авторов темы

  • Strelezzz

    17

  • safety

    16

Топ авторов темы

Изображения в теме

Опубликовано (изменено)

Такой скрипт выполните в FRST

 

Start::
Unlock:: C:\Users\Admin\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D
Reboot::
End::

 

после перезагрузки системы еще раз проверьте что в этой папке.

Результат уже проверю завтра, время у меня позднее.

Изменено пользователем safety
Опубликовано (изменено)
8 часов назад, safety сказал:

Такой скрипт выполните в FRST

 

Start::
Unlock:: C:\Users\Admin\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D
Reboot::
End::

 

после перезагрузки системы еще раз проверьте что в этой папке.

Результат уже проверю завтра, время у меня позднее.

Всё также нет доступа к этой папке (после копирования скрипта и перезагрузки). 

Fixlog.txt

2025-09-13_18-32-32.png

Изменено пользователем safety
Опубликовано
7 часов назад, safety сказал:

Поправил скрипт, проверьте выполнение еще раз.

Всё еще нет доступа к папке

Fixlog.txt

Опубликовано (изменено)

Скрипт был исправлен, смотрите выше.

 

Судя по фикслогу вы запустили прежний скрипт, до внесенного исправления. Возможно, по этой причине папка не разблокирована.

Цитата

fixlist содержимое:
*****************
Start::
Unlock C:\Users\Admin\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D
Reboot::
End::
*****************

 

Изменено пользователем safety
Опубликовано
20 минут назад, safety сказал:

Скрипт был исправлен, смотрите выше.

 

Судя по фикслогу вы запустили прежний скрипт, до внесенного исправления. Возможно, по этой причине папка не разблокирована.

 

Мне казалось, я запустил исправленный.

Запустил теперь и другой. Доступ так и не появился...

Fixlog.txt

Опубликовано

С одинарной кавычкой еще проверьте:

 

Start::
Unlock: C:\Users\Admin\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D
Reboot::
End::

 

Опубликовано
21 час назад, safety сказал:

да есть в корне записка о выкупе, и это может быть только если диск С расшарен для записи.

В противном случае запуск шифровальщика был, да сплыл, или скрылся.

а так похоже что профиль C:\Users\Admin в общем доступе.

 

В той папке проверьте что есть:

2025-09-07 19:54 C:\Users\Admin\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D

есть там такие файлы как session.tmp?

 

Последний скрипт помог. В папке два файла. Среди них и session.tmp. Время создания совпадает с предполагаемым временем распространения вируса.

Fixlog.txt

Опубликовано
2 минуты назад, safety сказал:

А еще есть кроме session.tmp?

Everything.db весом 70Мб

Опубликовано

Да, эта папка с шифровальщиком.

Странно что ее не было в обычном списке, по логам FRST отобразилась лишь в списке заблокированных каталогов.

Возможно что файлы шифровальщика были самоудалены после завершения шифрования.

Так что у вас точно было как минимум два запуска: на первом и втором ПК.

Опубликовано
1 минуту назад, safety сказал:

Да, эта папка с шифровальщиком.

Странно что ее не было в обычном списке, по логам FRST отобразилась лишь в списке заблокированных каталогов.

Возможно что файлы шифровальщика были самоудалены после завершения шифрования.

Так что у вас точно было как минимум два запуска: на первом и втором ПК.

Я так понимаю, на ПК №2 угроза купирована. Как быть с ПК №1? мои действия?

Опубликовано (изменено)

ПК 1 очищен скриптом. Эту папку

C:\Users\Admin\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D

после разблокировки можете вручную удалить.

ПК 2 так же очищен.

По расшифровке файлов я ответил вам выше.

Изменено пользователем safety
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Tangous
      Автор Tangous
      Помогите пож.
      Проекты САМ и САД. Работа последних лет.
       
      Addition.txt FRST.txt sample_vir.zip
    • Ladomir
      Автор Ladomir
      добрый не добрый день! Помогите пожалкйста расшифровать хотя бы БД от 1с. Утром проснулись - все на компе заменено расширением с этим файлом. Прикрепляю примеры! Пожалуйста помогите


      примеры.rar
    • СИСТЕМЩИК
      Автор СИСТЕМЩИК
      Зашифровались файлы. Прошу помочь
      FRST.txt Зашифрованные файлы(virus).xlsx.rar
    • Лëха
      Автор Лëха
      Добрый день.
      Прошу помочь, у меня также шифровальщик ELPY. Первый обнаруженный ПК был заражен 13.01.2026 в промежуток с 1 до 4 часов ночи. По нему пока кроме фото информации никакой дать не могу, нет доступа к ПК (только завтра). Второй ПК был обнаружен на днях, но зашифрован он частично также 13 числа в тот же промежуток времени, проверка антивирусом ничего не нашла, ПК работает в штатном режиме. На первом ПК, если я запущу FRST проверку, на на USB накопителе не перенесу вирус на другую машину для оправки результатов сканирования? Какие мои дальнейшие действия? За ранее спасибо.

    • albeg
      Автор albeg
      Добрый день
      помогите пожалуйста по всей видимости тоже elpy, через RDP 24.01
      Логи FRST, примеры файлов , записку прикрепил.
      Заранее благодарен
      123_2.jpg.zip DECRYPT_FILES.txt Addition.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...