Вирус "trojan-ransom.win32.rector" зашифровал файлы

[Алексей1981]

Добрый день!! Тело вируса удалил, файлы перенес на съемные носители, помогите расшифровать, что мне нужно сделать??

 

RectorDecryptor нашел зашифрованные файлы но не расшифровал

Изменено 9 декабря, 2016 пользователем Алексей1981

[mike 1]

Система была переустановлена после заражения? Какое расширение получили зашифрованные файлы?

[Алексей1981]

Система была переустановлена после заражения? Какое расширение получили зашифрованные файлы?

нет систему не переустанавливал, комп находится далеко, поэтому есть только зашифрованные файлы с именем, один из них - DACBTlc3HFa9zbALrbt28TD4td3AH5MIQSQLTcIeLJ0=.CB4E455BA5A03E8E3632.no_more_ransom

Изменено 9 декабря, 2016 пользователем Алексей1981

[mike 1]

Тогда https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Алексей1981]

Тогда https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

 

Все сделал, какие дальнейшие действия? не могу вставить файл с логами выходит ошибка -  Загрузка пропущена (Ошибка IO)

Тогда https://forum.kasperskyclub.ru/index.php?showtopic=436

Все сделал, какие дальнейшие действия? не могу вставить файл с логами выходит ошибка -  Загрузка пропущена (Ошибка IO)

Изменено 9 декабря, 2016 пользователем Алексей1981

[mike 1]

Ну значит что-то делаете не так. У других ведь получается прикрепить нужный архив.

[Алексей1981]

Ну значит что-то делаете не так. У других ведь получается прикрепить нужный архив.

 

Вроде получилось, посмотрите...

CollectionLog-2016.12.09-16.47.zip

Изменено 12 декабря, 2016 пользователем Алексей1981

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Алексей1981]

Ну значит что-то делаете не так. У других ведь получается прикрепить нужный архив.

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

 

Все сделал, как вы написали...

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
  CreateRestorePoint:
  CloseProcesses:
  2016-12-08 18:11 - 2016-12-08 18:11 - 02359350 _____ C:\Documents and Settings\Admin\Application Data\F896FC5DF896FC5D.bmp
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\Admin\Рабочий стол\README9.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\Admin\Рабочий стол\README8.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\Admin\Рабочий стол\README7.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\Admin\Рабочий стол\README6.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\Admin\Рабочий стол\README5.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\Admin\Рабочий стол\README4.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\Admin\Рабочий стол\README3.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\Admin\Рабочий стол\README2.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\Admin\Рабочий стол\README10.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README9.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README8.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README7.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README6.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README5.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README4.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README3.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README2.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README10.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README1.txt
  2016-12-08 16:01 - 2016-12-09 16:16 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[Алексей1981]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
  CreateRestorePoint:
  CloseProcesses:
  2016-12-08 18:11 - 2016-12-08 18:11 - 02359350 _____ C:\Documents and Settings\Admin\Application Data\F896FC5DF896FC5D.bmp
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\Admin\Рабочий стол\README9.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\Admin\Рабочий стол\README8.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\Admin\Рабочий стол\README7.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\Admin\Рабочий стол\README6.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\Admin\Рабочий стол\README5.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\Admin\Рабочий стол\README4.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\Admin\Рабочий стол\README3.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\Admin\Рабочий стол\README2.txt
  2016-12-08 18:10 - 2016-12-08 18:10 - 00004170 _____ C:\Documents and Settings\Admin\Рабочий стол\README10.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README9.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README8.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README7.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README6.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README5.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README4.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README3.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README2.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README10.txt
  2016-12-08 16:05 - 2016-12-08 16:05 - 00004170 _____ C:\README1.txt
  2016-12-08 16:01 - 2016-12-09 16:16 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Все сделал

Fixlog.txt

[mike 1]

 

AV: ESET Smart Security 4.0 (Enabled - Up to date) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку своего антивируса.

[Алексей1981]

 

 

AV: ESET Smart Security 4.0 (Enabled - Up to date) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку своего антивируса.

 

 

ESET Smart Security 4.0 установлена демо версия, что дальше можно сделать??

[mike 1]

Тогда в техподдержку обратиться не сможете. 

[Алексей1981]

Тогда в техподдержку обратиться не сможете. 

 

Вообще реально расшифровать данные на сегодняшний момент? может и не стоит дергаться??