Перейти к содержанию

Вирус зашифровал файлы

Etnograf
 Share Подписчики 1

Рекомендуемые сообщения

Etnograf

Etnograf 0

Опубликовано
Опубликовано (изменено)

Здравствуйте.

На работе у коллеги случилась неприятность. Вирус зашифровал файлы в формат "no_more_ransom".

К сожалению, не получается прикрепить к письму файлы ".no_more_ransom".

Могу ли я попробовать восстановить файлы с помощью программы "QPhotoRec" (по ссылке: http://www.spyware-ru.com/udalit-virus-shifrovalshhik-no_more_ransom-i-vosstanovit-zashifrovannye-fajly/ )?

Прикрепляю взломанные файлы в заархивированном виде.

README4.txt

README5.txt

README6.txt

README7.txt

README8.txt

README9.txt

README10.txt

README1.txt

README2.txt

README3.txt

кровля 15.11.rar

Изменено пользователем Etnograf
Ссылка на сообщение
Поделиться на другие сайты
Etnograf

Etnograf 0

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо.

Компьютер проверку прошёл, прилагаю логи.

CollectionLog-2016.12.09-16.13.zip

Изменено пользователем Etnograf
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 254

Опубликовано
Опубликовано

1.Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

2.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 254

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Etnograf

Etnograf 0

Опубликовано
  • Автор
Опубликовано (изменено)

Сканирование завершилось. Прилагаю сформированные файлы.

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем Etnograf
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 254

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
2016-12-09 13:30 - 2016-12-09 13:30 - 04320054 _____ C:\Users\Valentina\AppData\Roaming\0FD3A9B20FD3A9B2.bmp
2016-12-09 13:30 - 2016-12-09 13:30 - 00004154 _____ C:\Users\Valentina\Desktop\README9.txt
2016-12-09 13:30 - 2016-12-09 13:30 - 00004154 _____ C:\Users\Valentina\Desktop\README8.txt
2016-12-09 13:30 - 2016-12-09 13:30 - 00004154 _____ C:\Users\Valentina\Desktop\README7.txt
2016-12-09 13:30 - 2016-12-09 13:30 - 00004154 _____ C:\Users\Valentina\Desktop\README6.txt
2016-12-09 13:30 - 2016-12-09 13:30 - 00004154 _____ C:\Users\Valentina\Desktop\README5.txt
2016-12-09 13:30 - 2016-12-09 13:30 - 00004154 _____ C:\Users\Valentina\Desktop\README4.txt
2016-12-09 13:30 - 2016-12-09 13:30 - 00004154 _____ C:\Users\Valentina\Desktop\README3.txt
2016-12-09 13:30 - 2016-12-09 13:30 - 00004154 _____ C:\Users\Valentina\Desktop\README2.txt
2016-12-09 13:30 - 2016-12-09 13:30 - 00004154 _____ C:\Users\Valentina\Desktop\README10.txt
2016-12-09 13:30 - 2016-12-09 13:30 - 00004154 _____ C:\Users\Valentina\Desktop\README1.txt
2016-12-09 12:58 - 2016-12-09 14:43 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-09 12:58 - 2016-12-09 14:43 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Etnograf

Etnograf 0

Опубликовано
  • Автор
Опубликовано (изменено)

Адварь и следы вымогателя очищены. С расшифровкой помочь не сможем.

Понимаю, спасибо.

Вы не можете помочь с расшифровкой в принципе или только в нашем конкретном случае?

Но могу ли я расшифровать файлы через программу "QPhotoRec"?

Файлы-то рабочие, важные до катастрофичности... 

Изменено пользователем Etnograf
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 254

Опубликовано
Опубликовано

могу ли я расшифровать файлы через программу "QPhotoRec"?

Если не ошибаюсь, эта программа предназначена для восстановления удаленных файлов, а не зашифрованных.

Полистайте темы в этой ветке и увидите, что, к сожалению, Вы не одиноки.

Ссылка на сообщение
Поделиться на другие сайты
Etnograf

Etnograf 0

Опубликовано
  • Автор
Опубликовано (изменено)

 

могу ли я расшифровать файлы через программу "QPhotoRec"?

Если не ошибаюсь, эта программа предназначена для восстановления удаленных файлов, а не зашифрованных.

Полистайте темы в этой ветке и увидите, что, к сожалению, Вы не одиноки.

 

 

Темы уже почитал, но, к сожалению, это не может принести утешения коллеге. Мне нужно ей что-то ответить. 

Получается, что на данный момент мы не сможем восстановить файлы вовсе?

Может быть, удалять вирус до попытки расшифровки не следовало? Или это - не взаимосвязанные вещи?

Изменено пользователем Etnograf
Ссылка на сообщение
Поделиться на другие сайты
Etnograf

Etnograf 0

Опубликовано
  • Автор
Опубликовано

Спасибо за помощь! Буду пробовать самостоятельно...


С рекомендованной Вами статьёй ознакомился. Но, боюсь, она скорее подтверждает мои опасения, что не надо было удалять вирус.

Я понимаю, что тема практически исчерпана, но мне, к сожалению, больше не к кому обратиться. Поэтому, я задам ещё вопрос, должно быть, последний.

Могли бы Вы порекомендовать что-нибудь для более-менее успешной расшифровки файлов?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • DanM
      Не удается удалить троян Trojan:MSIL/Wemaeye.A
      От DanM
      Здравствуйте, обнаружил на своем компьютере Trojan:MSIL/Wemaeye.A.
      Ниже прикрепляю логи из приложения Farbar Recovery Scan Tool, помогите, пожалуйста, избавиться от этого трояна.
      logs.zip
    • Andrew11111
      [РЕШЕНО] Пользователь Klogi - вирус?
      От Andrew11111
      Доброго времени, уважаемые форумчане!
       
      На рабочем ноутбуке - Huawei при его запуске (включение) в самом начале появляется некий пользователь Klogi, который больше нигде не фигурирует. При этом сменить меня (я пользователь) на этого Klogi через виндовс невозможно, зайти за этого пользователя также не возможно (фото прикладываю).
       
      Прошу Вашей помощи в разборе этого кейса
       
       
      CollectionLog-2024.04.30-00.17.zip
    • siemensok
      [РЕШЕНО] Поймал вирусы
      От siemensok
      Приветствую. Поймал какие то вирусы. При включении ПК запускалось какое то приложение через командную строку. Проверил с помощью касперского, он что то нашел и вылечил. Воспользовался AV block remover, он нашел "левого" пользователя John и удалил его вроде как. После этого ошибка при включении ПК вроде как пропала, но боюсь что в дальнейшем может появится снова. Подскажите пожалуйста что можно ещё сделать?
      AV_block_remove_2024.04.28-12.24.log CollectionLog-2024.04.28-12.29.zip
    • Viachek
      Несанкционированная загрузка с/на сайт adtonus.com
      От Viachek
      На сайте есть уже аналогичный вопрос, помеченный гордым тегом "РЕШЕНО", но я повторить все действия, изложенные в той теме не смог. Написано уж больно замудрёно. Можете подсказать какой-то более понятный текст с набором действий, для людей от сохи и желательно с картинками?
    • aronone
      [РЕШЕНО] NET.MALWARE.URL не удаляется, просьба помочь удалить
      От aronone
      Здравствуйте, заметил нагрузку на процессор, проверил куррейтом нашел NET:MALWARE.URL и Trojan.PWS.Banker. , вылечить не получилось, но после перезагрузки куррейт перестал находить вирусы, хотел бы почистить комп полностью
      CollectionLog-2024.04.23-09.35.zip cureit.rar
×
×
  • Создать...