не определен Шифровальщик с расширением .E2NnUIR#3

[KorSa]

Добрый день!

Сегодня после перезагрузки компьютера под управление Windows 7, все текстовые файлы и базы 1С оказались зашифрованные.

Пример пример зашифрованного файла во вложении.

Проверил файл E2NnUIR#3.README.txt антивирусом Eset nod32, он выдал вот такую информацию:

Защита файловой системы в реальном времени;файл;J:\E2NnUIR#3.README.txt; MSIL/Filecoder.BPD троянская программа;удален;

E2NnUIR#3.README.txt.zip гост 31307-2005.pdf.E2NnUIR#3.zip

[Sandor]

Здравствуйте!

 

Дополните логами Farbar по правилам раздела - Порядок оформления запроса о помощи

[safety]

2 часа назад, KorSa сказал:

Пример пример зашифрованного файла во вложении.

+

Пришлите еще несколько зашифрованных файлов, в архиве без пароля. Возможно что файлы не зашифрованы, а занулены

Изменено 19 мая пользователем safety

[KorSa]

Логи и дополнительные файлы во вложении.

FRST.zip CheckPfr.zip

[safety]

Файлы пойдут, видно что не нулевые. Логи сейчас проверю.

 

Если систему уже сканировали с помощью KVRT, Cureit или штатным антивирусом добавьте отчеты по сканированию, в архиве, без пароля

---------

А что там за файлы с двойным расширением? vault, и 2NnUIR#3.

Зашифрованные файлы остались еще от Vaultcrypt?

Так и есть, часть файлов осталось еще 2016 года, были зашифрованы vaultcrypt, перешивровались через 10 лет.

 

2016-06-15 06:02 - 2026-05-18 22:06 - 003786053 _____ () C:\Users\*\AppData\Roaming\confirmation.key.E2NnUIR#3
2016-06-15 06:02 - 2016-06-15 06:02 - 000004289 _____ () C:\Users\*\AppData\Roaming\VAULT.hta
2016-06-15 06:02 - 2026-05-18 22:06 - 000004290 _____ () C:\Users\*\AppData\Roaming\vault.hta.E2NnUIR#3
2016-06-15 06:02 - 2026-05-18 22:06 - 000001618 _____ () C:\Users\*\AppData\Roaming\vault.key.E2NnUIR#3

 

Изменено 19 мая пользователем safety

[KorSa]

Отчеты KVRT

KVRT2020_Data.zip

[safety]

Судя по отчету KVRT тело шифровальщика не найдено.

 

Для для доп. анализа проверьте ЛС.

-------------------

Тип шифровальщика пока не определен, ждем определения типа. 

--------

 

Изменено 20 мая пользователем safety

[safety]

Для проверки добавьте одну или несколько пар чистый - зашифрованный файлы, желательно чтобы были офисные файлы docx, xlsx, или рисунки jpg, png

[KorSa]

Файлы docx, xlsx в архиве.

test.zip

[safety]

В архиве вижу только зашифрованные файлы.

 

Я запросил у вас пары: чистый - зашифрованный.

Например:

чистый файл, по состоянию до шифрования

"акт алиса.xls"

и зашифрованный файл по состоянию после шифрования

"акт алиса.xls.E2NnUIR#3"

Изменено 20 мая пользователем safety

[KorSa]

Извиняюсь, видимо сначала не правильно понял Вас.

Обновил архив.

test.zip

[safety]

Хорошо, ждем некоторое время