Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Криптовирус *.1txt

DenisVortman
 Поделиться

Рекомендуемые сообщения

DenisVortman

DenisVortman

Опубликовано
Опубликовано

Сегодня бухгалтерия поймала криптовирус, все зашифровали.

прикрепил зашифрованный файл и файл от злаумышлеников.


За ранние спасибо. 

Elly

Elly

Опубликовано
Опубликовано

не прикрепляйте вредоносные файлы на форум.

Выполните правила раздела.

mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
  • Согласен 1
mike 1

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

HKLM-x32\...\Run: [] => [X]

HKU\S-1-5-21-3527026915-790526125-3297768303-1002\...\Run: [cefabcbdfedecc] => "C:\Users\Пользователь\Desktop\8c42.exe" 

C:\Users\Пользователь\AppData\Local\Temp\rn32.dll

C:\Users\Пользователь\AppData\Local\Temp\siuninst.exe



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

DenisVortman

DenisVortman

Опубликовано
  • Автор
Опубликовано

Спасибо, Для второго компьютера отдельную тему создавать или можно в этой?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ffrog
      криптовирус tendercrisp_sandwich@aol.com [Cryakl]
      Автор ffrog
      дети на каникулах - это жесть.
      в то же время, сам виноват.
      во-первых, у ребёнка аккаунт не простого пользователя, а администратора
      во-вторых, не было пароля для защиты конфигурации NOD32
      в-третьих, NOD32 хоть и был с актуальными базами, но сам по себе старый - версия 4.2.71
       
      в результате, ребёнок скачал и запустил криптовирус, который удалил NOD32 и зашифровал больше 3 ТБ данных
      в автозагрузку вирус не пролез (по крайней мере, в мою учётную запись), поэтому после ребута деятельность не продолжил

      на данный момент всё пролечил, остался вопрос как расшифровать те самые 3 ТБ данных
      зашифрованные файлы ещё и переименованы, расширение у всех файлов уникальное
      примеры:
      email-tendercrisp_sandwich@aol.com.ver-CL 1.3.1.0.id-@@@@@E8CA-73DD.randomname-VSJARIZLCTKBNJBMDUROZRIZQHYKBS.JAR.ial
      email-tendercrisp_sandwich@aol.com.ver-CL 1.3.1.0.id-@@@@@E8CA-73DD.randomname-WNEPMDUMDOFRIZKBTEVOLHYKBSPASJ.ULC.ulw
      email-tendercrisp_sandwich@aol.com.ver-CL 1.3.1.0.id-@@@@@E8CA-73DD.randomname-WNEVNEPGXPGXIZRCTKWNEPGSJAMDWO.KBN.evh

      если открыть файл редактором, то в конце файла видим следующее:
      {EncryptStart}{цифры, много, около 32КБ}{EncryptEnded}

      в файле readme.txt - всем известная формулировка с предложением написать красавцам на почту tendercrisp_sandwich@aol.com чтобы получить your unique key and decode files
      CollectionLog-2017.01.03-21.15.zip
    • Сергей Коломийченко
      Шифровальщик Trojan.Ransom.win32.Rotor.b - нужна помощь в дешифровке
      Автор Сергей Коломийченко
      Trojan.Ransom.win32.Rotor.b - застал этого паразита в процессе шифрования, завершил его из диспетчера задач, есть надежда на то, что он не успел затереть ключи шифрования, только бы знать где их искать и чем. Файлы имеют вид: GDIPFONTCACHEV1.DAT.___ELIZABETH7@PROTONMAIL.COM____ , в наличии имеются шифрованные файлы, их оригиналы и ехе"шник вируса, буду рад любому полезному совету в правильном направлении.
      Приложил архив с оригинальным и шифрованным файлом
       

      Строгое предупреждение от модератора thyrex Не прикрепляйте вредоносных вложений CollectionLog-2016.10.28-18.12.zip
      Desktop.rar
    • Андрей Левченко
      Еще один криптовирус
      Автор Андрей Левченко
      блокнотики redme с записью
      ATTENTION! Your computer was attacked by trojan called cryptolocker. All your files are encrypted with cryptographically strong algorithm, and without original decryption key recovery is impossible. To get your unique key and decode your files, you need to write us at email written below during 72 hours,  otherwise your files will be destroyed forever! salazar_slytherin10@yahoo.com salazar_slytherin10@yahoo.com   Было ли у кого такое чудо? и как бороться.   P.S. Эта падлюка задела самое святое, базы 1с
×
×
  • Создать...