Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик с расширением *.hta зашифровал файлы word, excel, pdf. Варианты решения?

odmeon
 Поделиться

Рекомендуемые сообщения

odmeon

odmeon

Опубликовано
Опубликовано (изменено)

Здравствуйте! 

 

Существуют варианты восстановления информации? Что можно попробовать? 

 

Прицепляю:

Письмо с шифровальщиком: Счет на оплату (май 2016).rar (Пароль на архив: pas11!@)

Ключ с диска D создан шифровальщиком.rar

Несколько зашифрованных файлов.rar

CollectionLog-2017.01.24-13.09.zip

CollectionLog-2017.01.24-13.09.zip

Ключ с диска D создан шифровальщиком.rar

Несколько зашифрованных файлов.rar

Изменено пользователем Sandor
Убрал подозрительный файл
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Включите Восстановление системы.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Unity Web Player

Служба автоматического обновления программ

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-11-25]
FF Extension: (Поиск@Mail.Ru) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-11-25]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-11-25]
CHR HomePage: Default -> inline.go.mail.ru/homepage?inline_comp=hp&inline_hp_cnt=21071633
CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn11.0.3
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme [2016-11-25]
CHR Extension: (Mail.Ru) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf [2016-11-25]
2017-01-24 09:01 - 2017-01-24 09:01 - 00001088 ___RH C:\Users\User\Desktop\RU21F-9EXFA-XHTGO-EETRA-TFORE-TXOOX-FTOKE-RYYYY.KEY
2017-01-24 09:01 - 2017-01-24 09:01 - 00001088 ___RH C:\Users\User\AppData\Roaming\RU21F-9EXFA-XHTGO-EETRA-TFORE-TXOOX-FTOKE-RYYYY.KEY
2017-01-24 08:59 - 2017-01-24 09:01 - 06689432 _____ C:\Users\User\AppData\Roaming\2998762751
2017-01-19 15:45 - 2017-01-18 22:41 - 4167384 _____ (Mail.Ru) C:\Users\User\AppData\Local\Temp\mrutmp.exe
2017-01-24 08:59 - 2017-01-24 08:59 - 0113152 _____ () C:\Users\User\AppData\Local\Temp\sp1ex.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

minervals

minervals

Опубликовано
Опубликовано

Таже беда, но успел сподхватиться и 50% файлов спас убив файл sp1ex.exe, причем он творил дела через локальную сеть, на сервере. Pdf, corel файлы, Фотошоп файлы всё шифровал, создавая Резервная_копия_ИМЯФАЙЛА

Sandor

Sandor

Опубликовано
Опубликовано

Существуют варианты восстановления информации?

Увы, пока нет, к сожалению.
odmeon

odmeon

Опубликовано
  • Автор
Опубликовано

В корпоративную зону этот же вопрос смысла задавать нет?

 

Виндовс нужно переустановить или мы подчистили следы шифровальщика? 

 

Просканировать программами восстановления имеет смысл? Вдруг были созданы клонов файлов испорченных и удалены оригиналы...

Спасибо!

 

 

Sandor

Sandor

Опубликовано
Опубликовано

В корпоративную зону этот же вопрос смысла задавать нет?

Нет.

При наличии лицензии на антивирус Касперского можете создать запрос на расшифровку.

 

мы подчистили следы шифровальщика?

Да, переустановка системы не нужна.

 

Просканировать программами восстановления имеет смысл?

Можете попробовать, но шансов практически нет.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alegator2222
      Шифровальщик SPORA
      Автор alegator2222
      Добрый день коллеги, подверглись атаки вируса spora, шифрует файлы в hta, есть способ расшифровать? 
      пример_hta_файла.rar
    • stasnakhlov
      зашифровали файлы .hta
      Автор stasnakhlov
      Добрый день. 
       
      Проблема следующая: через почтовый клиент был открыт файл с вирусом, сам комп не заразился, а вот рабочий сервер пострадал, половина файлов за шифровались под расширение .hta . 
      CollectionLog-2017.10.25-14.04.zip
    • Viki
      Шифровальщик Hta
      Автор Viki
      Пришло письмо на электронную почту, с содержимым вроде "документы проверенны, с нашей стороны все в порядке, посмотрите с вашей" и прикрепленный файл hta, открыла, все документы на рабочем столе стали с расширением hta. исчезли все данные с 1с кварта и т.д. Как можно все восстановить подскажите пожалуйста
    • mixali4
      Шифровальщик Spora
      Автор mixali4
      Доброго времени суток. С почтового ящика qeer@mail.ru пришло письмо со следующим содержимым:
      Случайно запустил на компьютере файл, который пришел в архиве.
      Вирус зашифровал много файлов, но я успел вовремя отрубить, файлы преобразовались в расширения типа *.doc.hta, *.xls.hta. При открытии файла требует деньги, почта spora.help@gmail.com.
      Как расшифровать данные файлы, что вообще можно сделать?
      Документы очень важные. Ребята помогите пожалуйста.
      Спасибо!!!
    • Владимир72рус
      поймали шифровальщик spora, как дешифровать файлы?
      Автор Владимир72рус
      Вчера на работе у нас произошел инцидент, одна наша сотрудница приняла письмо по почте, от неизвестного источника, соответственно распаковала и открыла файл, сама того не понимая, что это был скрипт.
      После чего вирус начал делать свои дела на компе и в сети, то есть начал шифровать файлы, параллельно производил поиск в сети всех расширенных папок и начал шифровать все файлы.
      выкладываю файл со скриптом, а так же фото рабочего стола
       

      Строгое предупреждение от модератора Mark D. Pearlstone не выкладывайте вредоносные и потенциально вредоносные файлы и ссылки на форум.





×
×
  • Создать...