Перейти к содержанию
Викторина ко дню рождения Евгения Валентиновича Касперского
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Вирус шифровальщик

Ivan Kezin
 Share Подписчики 1

Рекомендуемые сообщения

  • Ответов 39
  • Created
  • Последний ответ

Top Posters In This Topic

  • Ivan Kezin

    21

  • Sandor

    15

  • mike 1

    3

  • thyrex

    1

Popular Days

Top Posters In This Topic

Popular Days

Sandor

Sandor 1 286

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM-x32\...\RunOnce: [{78EC9960-41E8-4D60-9E74-D35D1356B710}] => cmd.exe /C start /D "C:\Users\836D~1\AppData\Local\Temp\1" /B {78EC9960-41E8-4D60-9E74-D35D1356B710}.cmd <===== ATTENTION
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2016-12-25 10:00 - 2016-12-25 10:00 - 00000281 _____ C:\Users\Public\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2016-12-25 10:00 - 2016-12-25 10:00 - 00000281 _____ C:\Users\Public\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2016-12-25 10:00 - 2016-12-25 10:00 - 00000281 _____ C:\Users\Public\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2016-12-25 09:54 - 2016-12-25 09:54 - 00000281 _____ C:\Users\Все пользователи\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2016-12-25 09:54 - 2016-12-25 09:54 - 00000281 _____ C:\ProgramData\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2016-12-24 06:11 - 2016-12-24 06:11 - 00004553 _____ C:\Users\user3\HOW_OPEN_FILES.hta
2016-12-24 06:09 - 2016-12-24 06:09 - 00004553 _____ C:\Users\user3\Downloads\HOW_OPEN_FILES.hta
2016-12-24 06:08 - 2016-12-24 06:08 - 00004553 _____ C:\Users\user3\Documents\HOW_OPEN_FILES.hta
2016-12-24 06:08 - 2016-12-24 06:08 - 00004553 _____ C:\Users\user3\Desktop\HOW_OPEN_FILES.hta
2016-12-24 06:08 - 2016-12-24 06:08 - 00004553 _____ C:\Users\user3\AppData\Roaming\HOW_OPEN_FILES.hta
2016-12-24 06:08 - 2016-12-24 06:08 - 00004553 _____ C:\Users\user3\AppData\Local\Temp\HOW_OPEN_FILES.hta
2016-12-24 06:07 - 2016-12-24 06:12 - 00004553 _____ C:\Users\Все пользователи\HOW_OPEN_FILES.hta
2016-12-24 06:07 - 2016-12-24 06:12 - 00004553 _____ C:\ProgramData\HOW_OPEN_FILES.hta
2016-12-24 06:07 - 2016-12-24 06:07 - 00004553 _____ C:\Users\Public\HOW_OPEN_FILES.hta
2016-12-24 06:07 - 2016-12-24 06:07 - 00004553 _____ C:\Users\Public\Downloads\HOW_OPEN_FILES.hta
2016-12-24 06:07 - 2016-12-24 06:07 - 00004553 _____ C:\Users\Public\Documents\HOW_OPEN_FILES.hta
2016-12-19 16:33 - 2016-12-19 16:33 - 00000688 _____ C:\Users\user1\AppData\Local\Temp\work.bat
2016-12-19 16:32 - 2016-12-19 16:32 - 00001470 _____ C:\Users\user1\AppData\Local\Temp\downloadfile.vbs
zip: %SystemDrive%\FRST\Quarantine
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

 

Файл Date_Time.zip (Дата_время) с рабочего стола тоже прикрепите к следующему сообщению.

Также упакуйте и прикрепите парочку небольших зашифрованных файлов.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

Не зашифрованный такой же есть? Речь идет о паре зашифрованный/не зашифрованный, размером более 8к.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • DimonD
      [РАСШИФРОВАНО] Поймали шифровальщик
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • iLuminate
      Подозрение на взлом сервера
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
    • JhonD
      шифровальщик Jami_decryptionguy
      От JhonD
      Добрый день, посмотрите, есть ли надежда на восстановление файлов. 
      Addition.txt CONTACT_US.txt FRST.txt АКТ на списание ГСМ.DOCX
    • upvpst
      DCHELP.org
      От upvpst
      Добрый день! В сеть проник зловред подробно описанный по ссылке https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html.
      Возможности зайти на сервер нет, так как файловые системы отображаются как нечитаемые. Пробуем вытащить файлы через R-Studio, Disk Drill и иные утилиты восстановления данных. Сталкивался ли кто-то еще с этими гадами? Есть ли выход?

×
×
  • Создать...