Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте !

У меня точно такая же проблема.

Пользователь в бухгалтерии получил письмо якобы для проверка бухгалтерских документов с вложением oplata.zip, после чего произошло шифрование файлов MS Office, Jpg, zip, rar. которые получили дополнительное расширение .locked

Создались файлы в корне диска С, мои документы и на рабочем столе - !!!README!!!8AD5r, KEY-E58137F9-6D77-4E14-8D94-9D7C12325468.

В README мошенники предупреждают что для расшифровки данных требуется не удалять Кей-файл, а также инструкции для проведения платежа через Bitcoin.

Зараженный архив пришел с почты: valera.alekseychev.75@mail.ru

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы

CollectionLog-2016.09.19-12.00.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Дополнительно:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
FF Homepage: hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.2
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-01-25]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-01-18]
C:\Users\Admin\AppData\Local\Temp\amigo_setup.exe
C:\Users\Admin\AppData\Local\Temp\downloader.exe
C:\Users\Admin\AppData\Local\Temp\GuardMailRu.exe
C:\Users\Admin\AppData\Local\Temp\kkmst.dll
C:\Users\Admin\AppData\Local\Temp\lite_installer.exe
C:\Users\Admin\AppData\Local\Temp\sender.exe
C:\Users\Admin\AppData\Local\Temp\yandex.exe
C:\Users\Admin\AppData\Local\Temp\_is978D.exe
C:\Users\Admin\AppData\Local\Temp\{B0393A19-4463-4EFC-951B-92E653B7EC41}.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Это была очистка рекламного мусора. С расшифровкой, к сожалению, не поможем.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Это была очистка рекламного мусора. С расшифровкой, к сожалению, не поможем.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

Спасибо за консультацию !

Тех поддержка Касперского и Др. Веба ответили тоже самое, что расшифровка не возможна ((

Тему можно закрывать

 

Ссылка на комментарий
Поделиться на другие сайты

Добрый день, пришло по почте письмо с вложением Word файла, открыли его и всё все файлы Excel теперь не открываются на файле написано  xlsx.locked 

Что делать? Как восстановить резервные копии файла? Мне несколько файлов нужен, хотя бы можно восстановить как то через резервных копии? И как удалить этот вирус? Заранее спс

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • dmg
      От dmg
      FRST.rarДобрый день! Прошу помочь по мере возможности. Все файлы зашифрованы на сервере 1С. 
      Read Instructions.txt
    • ZiV
      От ZiV
      Добрый день.
      Поймали сегодня на сервере бухгалтерии неприятность.
      Просим помощи в расшифровке.
       
      Пострадали локальные файлы сервера и сетевые папки
      Во вложении файлы FRST.txt, Addition.txt, 2 зашифрованных файла и файл с требованиями (Read Instructions.txt)
      locked.rar
    • Chertos
      От Chertos
      Здравствуйте! Взломали сервер через rdp соединение. 95% файлов зашифрованы с добавлением -. {JohnCorneille@tutamail.com} ID[4CEDFBCA0E2C].locked
       Можно ли что то сделать с этим? 
       
      Сейчас всё подготовлю. 
    • Женя Елинск
      От Женя Елинск
      Приветствую, этот вирус не дает мне открывать некоторые приложения с ошибкой от eplorer.exe, нет прав и тд. Занес его с майнером на комп, еле как справился другими вирусами а этот еще остался
    • Brusov
      От Brusov
      Добрый день. 
      Шифровальщик положил все файлы на сервере с  картинками и PDF 
       с таким требованием 
      "
      Your Files Have Been Locked With  Enmity Ransomware
      you have to pay Bitcoin for Unlock Process
      you can send a little file (less than 1 or 2 mb) for Decryption test (if we assume file is important we may ask you to Send another one)
      Contact Us and Pay and get Decryption
      Contact Our Email:iwillhelpyou990@zohomail.eu
      in Case of no reply from Email send message to my telegram  id below
      Telegram ID:@UnlockData
      Your ID:51987208059674 "
       
      files_for_test.7z 
       
      FRST.txtAddition.txt
       
      Надеемся на вашу помощь. 
×
×
  • Создать...