Перейти к содержанию

Шифровальшик


Рекомендуемые сообщения

Здравствуйте. Прощу помощи в бухгалтерии один их бухгалтеров открыл файл с "долгом" по оплате. Теперь часть файлов заблокировалось. Если возможно прощу помочь с расшифровкой.

CollectionLog-2016.09.26-15.55.zip

Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 



begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\WINDOWS\system32\IE4Data\IE4Data.lnk','');
 QuarantineFileF('C:\WINDOWS\system32\IE4Data', '*', true, ' ', 0, 0);
 DeleteFile('C:\WINDOWS\system32\IE4Data\IE4Data.lnk','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','IE4Data');
 DeleteFile('C:\Documents and Settings\buh13\Главное меню\Программы\Автозагрузка\VAULT.hta','32');
ExecuteSysClean;
RebootWindows(true);
end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

2015-11-09 10:13 - 2015-11-09 10:13 - 0004292 _____ () C:\Documents and Settings\buh13\Application Data\VAULT.hta

2015-11-09 10:13 - 2015-11-09 10:13 - 0001589 _____ () C:\Documents and Settings\buh13\Application Data\VAULT.KEY

 

Ну что тут сказать? Я пониманию один раз поймать, но два раза одно и то же поймать - это нужно постараться. Если люди не способны сделать соответствующие выводы, то это уже видимо диагноз. Когда думать будете?

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
2016-09-22 13:39 - 2016-09-22 13:39 - 00005004 ____N C:\Documents and Settings\buh13\Рабочий стол\VAULT.hta
2016-09-22 13:39 - 2016-09-22 13:39 - 00005004 _____ C:\VAULT.hta
2016-09-22 13:39 - 2016-09-22 13:39 - 00001603 _____ C:\VAULT.KEY
2016-09-22 13:39 - 2015-11-09 10:13 - 00662930 _____ C:\Documents and Settings\buh13\Application Data\CONFIRMATION.KEY
2015-11-09 10:13 - 2015-11-09 10:13 - 0004292 _____ () C:\Documents and Settings\buh13\Application Data\VAULT.hta
2015-11-09 10:13 - 2015-11-09 10:13 - 0001589 _____ () C:\Documents and Settings\buh13\Application Data\VAULT.KEY
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
С расшифровкой не поможем. Расшифровка vault есть только у авторов шифровальщика.
Ссылка на комментарий
Поделиться на другие сайты

 

buh13 (S-1-5-21-606747145-1482476501-682003330-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\buh13

Не подскажите, почему бухгалтер сидит с правами админа? Обычные пользователи не должны ими обладать. 

Ссылка на комментарий
Поделиться на другие сайты

Подскажу т.к нам из министерства дали софт для бухгалтером и он по рекомендации должен работать на компах где даны права администратора пользователям для своей корректной работы. 

Ссылка на комментарий
Поделиться на другие сайты

Я общался с разработчиками. Официально получил отказ в самостоятельной доработке,до настройки программы.
На практике когда я давал права как обычному пользователю.Происходил обычно неожиданный сбои программы или ее завершение (обычно все ошибки на чтение-запись файла, обращение к файлам)

Когда я дал уровень прав админа. программа стала стабильней. 

Ссылка на комментарий
Поделиться на другие сайты

А если программу запускать из под ограниченного пользователя, но через контекстное меню проводника от имени Администратора?

Ссылка на комментарий
Поделиться на другие сайты

Хороший вариант попробую. Я правильно я понял что Вы не возьметесь за расшифровку т.к у нас действующей лицензии Касперского  на данном компьютере?(1 лицензия каспер. на сервере есть)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Синтезит
      От Синтезит
      Здравствуйте, помогите пожалуйста расшифровать.
      Ссылка на зашифрованные файлы от платформы 1с
      https://dropmefiles.com/8aGW7 пароль 0uJxTd
       
      Чистые файлы из архива Windows
      https://dropmefiles.com/PzSaC пароль ecUlCq
      Addition.txt FRST.txt
    • RusLine
      От RusLine
      Здравствуйте помогите чем сможете. Скачал с nnmclub total commander попользовался а утром зашифровало все фото файлы важные. Подскажите что делать ?
        



    • R3DSTALK3R
      От R3DSTALK3R
      Наш компьютер, где был установлен сервер 1C, заразился вирусом шифровальщиком-вымогателем. Первое что сделал вирус – сменил пароль для учётной записи администратора. Так же он зашифровал все файлы ключом ThnzSOMKAAKZ7v7OV4MX-cwAzeoX0aWrzJmrPnXwamk*datastore@cyberfear.com-ThnzSOMKAAKZ7v7OV4MX-cwAzeoX0aWrzJmrPnXwamk (как сказано в послании от вымогателя), которые больше 8,5 мб.
      Очень надеемся, что сможете помочь решить нашу проблему.
      https://dropmefiles.com/DUXr9 ссылка на шифрованные файлы
      Addition.txt Shortcut.txt FRST.txt README.txt
    • Timur Swimmer
      От Timur Swimmer
      Здравствуйте.
      Наш компьютер, где был установлен сервер 1C, заразился вирусом шифровальщиком-вымогателем. Первое что сделал вирус – сменил пароль для учётной записи администратора. Так же он зашифровал все файлы ключом RSA4096 (как сказано в послании от вымогателя), которые больше 8,5 мб. У всех файлов больше 8,5 мб изменили расширение на datastore@cyberfear.com-WuqqAQ9reBWcAtfXZgxTUsAfCnUmDrqmJgKmH-4JJ0g .
      По ссылке можно скачать несколько зашифрованных файлов для примера, в папке Original файлы, как они выглядели до шифрования и письмо от мошенников.
      ссылка на диск
      Очень надеемся, что сможете помочь решить нашу проблему.
    • Samoxval
      От Samoxval
      Поймали шифровальщик. Расширение .nigra
      Скорее всего по рдп, сам вирус не нашли.
      Установили новый диск и на него накатили чистую виндовс, старые 2 диска осталис подключены как второстепенные, систему на них не трогали.
      Если есть возможность нам спасти файлы (несколько из них приложил) за месяц. Тоесть это файлы кассовой смены 1 файл= 1 кассовая смена. Более нам ничего не требуется с этих дисков. Либо база sql там эти все смены хранятся.
      Зашифрованые файлы.rar
      Первоначальное расширение файлов .udb
       
×
×
  • Создать...