Перейти к содержанию
Задай вопрос Алексею Тодирашу!

Зашифровались файлы на флешке AES256

Player1
 Share

Рекомендуемые сообщения

Player1 Новичок

Player1

Опубликовано
Опубликовано (изменено)

ПК, на котором зашифровалась флешка теперь дольше черного экрана не грузится. Но и не страшно, главное на флешке. В действительности там огромное количество данных связанных с работой, работаю педагогом в школе для неполноценных. Резервные копии некоторых данных имеются, но далеко не всех. В архиве два зашифрованных файла doc (для образца) и txt-файл с требованиями от создателей шифровальщика. Прошу помочь насколько это возможно. Спасибо заранее.

 

upd

добавил архив с логом, согласно тербованиям

Вирус.zip

CollectionLog-2016.01.11-20.02.zip

Изменено пользователем Player1
Ссылка на комментарий
Поделиться на другие сайты
Player1 Новичок

Player1

Опубликовано
  • Автор
Опубликовано (изменено)

я читал перед оформлением. но пк, с которого я оформлял запрос это не тот, но котором прошло заражение. а файлы передал через облако, чтоб не вставлять флешку в этот пк (страшно просто). поэтому первый этап пропустил, просто не понимаю как он может помочь. реанимировать тот пк не представляется возможным, там дальше черного экрана дело не идет, к сожалению. вы меня сильно не ругайте, я впервые тут.

 

upd сделал все, что от меня зависит.

Изменено пользователем Player1
Ссылка на комментарий
Поделиться на другие сайты
Player1 Новичок

Player1

Опубликовано
  • Автор
Опубликовано

Логи делали на пострадавшем компьютере?

я ж написал уже два раза, что ПК, на котором произошло заражение флешки не включается больше. Идет загрузка биос, а потом черный экран.

Ссылка на комментарий
Поделиться на другие сайты
Player1 Новичок

Player1

Опубликовано
  • Автор
Опубликовано

мне удалось запустить старый ноут, на котором прошло заражение и собрать с него лог. правда пришлось откатиться с ранее созданной в 2012 году точки восстановления. шапку редактировать больше не могу. выкладываю тут.

CollectionLog-2016.01.14-18.53.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HomePage: Default -> hxxp://www.mysites123.com/?type=hp&ts=1452434501&z=677fb861715bc18eb235b86g4z2w3o5z7c1z3wceeg&from=amt&uid=wdcxwd3200bpvt-60jj5t0_wd-wxb1ea1auzf5auzf5
CHR StartupUrls: Default -> "hxxp://www.mysites123.com/?type=hp&ts=1452434501&z=677fb861715bc18eb235b86g4z2w3o5z7c1z3wceeg&from=amt&uid=wdcxwd3200bpvt-60jj5t0_wd-wxb1ea1auzf5auzf5"
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\47.0.2526.106\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\47.0.2526.106\pdf.dll => No File
2016-01-11 17:54 - 2016-01-12 09:03 - 00000000 ____D C:\Users\Все пользователи\sLkqvMjv
2016-01-11 17:54 - 2016-01-12 09:03 - 00000000 ____D C:\Users\Все пользователи\dWAXHbMUBI
2016-01-11 17:54 - 2016-01-12 09:03 - 00000000 ____D C:\Users\Все пользователи\BVeMiVGIgipyu
2016-01-11 17:54 - 2016-01-12 09:03 - 00000000 ____D C:\ProgramData\sLkqvMjv
2016-01-11 17:54 - 2016-01-12 09:03 - 00000000 ____D C:\ProgramData\dWAXHbMUBI
2016-01-11 17:54 - 2016-01-12 09:03 - 00000000 ____D C:\ProgramData\BVeMiVGIgipyu
2016-01-11 17:46 - 2016-01-12 09:03 - 00000000 ____D C:\Users\Все пользователи\caMyciloP
2016-01-11 17:46 - 2016-01-12 09:03 - 00000000 ____D C:\ProgramData\caMyciloP
2016-01-11 17:46 - 2016-01-11 17:46 - 00000000 ____D C:\Users\Все пользователи\caMyciloPs
2016-01-11 17:46 - 2016-01-11 17:46 - 00000000 ____D C:\ProgramData\caMyciloPs
2016-01-11 17:45 - 2016-01-12 09:03 - 00000000 ____D C:\Users\Все пользователи\RgqfgeMfu
2016-01-11 17:45 - 2016-01-12 09:03 - 00000000 ____D C:\Users\Все пользователи\PFdFbxuL
2016-01-11 17:45 - 2016-01-12 09:03 - 00000000 ____D C:\Users\Все пользователи\KkxFrNXGCykVFI
2016-01-11 17:45 - 2016-01-12 09:03 - 00000000 ____D C:\ProgramData\RgqfgeMfu
2016-01-11 17:45 - 2016-01-12 09:03 - 00000000 ____D C:\ProgramData\PFdFbxuL
2016-01-11 17:45 - 2016-01-12 09:03 - 00000000 ____D C:\ProgramData\KkxFrNXGCykVFI
2016-01-10 15:43 - 2016-01-12 09:03 - 00000000 ____D C:\Users\Все пользователи\kMSPzb
2016-01-10 15:43 - 2016-01-12 09:03 - 00000000 ____D C:\Users\Все пользователи\GnidKRZDnIlXA
2016-01-10 15:43 - 2016-01-12 09:03 - 00000000 ____D C:\Users\ADMIN\AppData\Roaming\tor
2016-01-10 15:43 - 2016-01-12 09:03 - 00000000 ____D C:\Users\ADMIN\AppData\Roaming\OdnUqnxVqtAcmfpq4n
2016-01-10 15:43 - 2016-01-12 09:03 - 00000000 ____D C:\ProgramData\kMSPzb
2016-01-10 15:43 - 2016-01-12 09:03 - 00000000 ____D C:\ProgramData\GnidKRZDnIlXA
2016-01-09 12:02 - 2016-01-12 09:03 - 00000000 ____D C:\Users\Все пользователи\mHBQbohlXoK
2016-01-09 12:02 - 2016-01-12 09:03 - 00000000 ____D C:\Users\Все пользователи\jOGkAgrT
2016-01-09 12:02 - 2016-01-12 09:03 - 00000000 ____D C:\ProgramData\mHBQbohlXoK
2016-01-09 12:02 - 2016-01-12 09:03 - 00000000 ____D C:\ProgramData\jOGkAgrT
C:\Users\ADMIN\AppData\Local\Temp\ED3B.tmp.exe
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Внимание! Данный дешифратор предназначен только для пользователя Player1

Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется
 
Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.
 
Дешифратор

 

 
Принцип работы с дешифратором:
 
1. Сохраните дешифратор в отдельную созданную папку. 
 
2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.

 

key.zip

Ссылка на комментарий
Поделиться на другие сайты
Player1 Новичок

Player1

Опубликовано
  • Автор
Опубликовано (изменено)

майк, попробовал ваш дешифратор. пока работает. удалось расшифровать 2 файла. огромное вам спасибо.

тирекс, лог прикрепил.

 

upd

почти все файлы расшифровались, но некоторые нет, пишет "к сожалению этот ключ не правильный". в общем я очень доволен результатом. но если вам интересно, посмотрите эти файлы, в чем проблема у них? прикрепляю некоторые из них, т.к. не укладываюсь в лимит загрузок.

Fixlog.txt

зашифровано.rar

Изменено пользователем Player1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ALFGreat
      Шифровальщик BitLocker зашифровал все диски и файлы.
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      Файлы зашифрованы .Demetro9990@cock.li
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      Зашифровали файлы на ***.kasper
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      Шифровальщик Demetro9990@cock.li зашифровал все файлы на ПК
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...