не определен Шифровальщик .RR0D

[SiMargl]

Доброго времени суток. 
Забрался на машину (скорее всего через RDP) пакостник и зашифровал всю информацию. Помогите, пожалуйста, найти дешифратор. 

CollectionLog-2017.02.08-11.31.zip

[Sandor]

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Прикрепите также файл ПРОЧТИ_МЕНЯ.txt и пару небольших зашифрованных файлов (упакуйте все).

[SiMargl]

Прилагаю отчеты FRST и шифрованные файлы. Добавляю к этому расшифрованные одним "деятелем" те же файлики. (вдруг это поможет)

FRST+letter.rar

[Sandor]

также файл ПРОЧТИ_МЕНЯ.txt

Этот забыли. Прикрепите его до выполнения скрипта.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Documents and Settings\adm\Start Menu\Programs\Startup\ПРОЧТИ_МЕНЯ.txt [2017-02-05] ()
Startup: C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\ПРОЧТИ_МЕНЯ.txt [2017-02-05] ()
Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\ПРОЧТИ_МЕНЯ.txt [2017-02-05] ()
Startup: C:\Documents and Settings\Default User\Start Menu\Programs\Startup\ПРОЧТИ_МЕНЯ.txt [2017-02-05] ()
Startup: C:\Documents and Settings\Eis\Start Menu\Programs\Startup\ПРОЧТИ_МЕНЯ.txt [2017-02-05] ()
Startup: C:\Documents and Settings\__ViPNet_User__\Start Menu\Programs\Startup\ПРОЧТИ_МЕНЯ.txt [2017-02-05] ()
Startup: C:\Documents and Settings\__ViPNet_User__.WET\Start Menu\Programs\Startup\ПРОЧТИ_МЕНЯ.txt [2017-02-05] ()
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2017-02-05 05:11 - 2017-02-05 05:11 - 00002138 ____C C:\WINDOWS\system32\dllcache\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:11 - 2017-02-05 05:11 - 00002138 _____ C:\WINDOWS\Tasks\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:11 - 2017-02-05 05:11 - 00002138 _____ C:\WINDOWS\system32\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:11 - 2017-02-05 05:11 - 00002138 _____ C:\WINDOWS\system32\Drivers\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:11 - 2017-02-05 05:11 - 00002138 _____ C:\WINDOWS\system32\Drivers\etc\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:11 - 2017-02-05 05:11 - 00002138 _____ C:\WINDOWS\system32\config\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:11 - 2017-02-05 05:11 - 00002138 _____ C:\WINDOWS\system\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:11 - 2017-02-05 05:11 - 00002138 _____ C:\WINDOWS\Minidump\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:10 - 2017-02-05 05:10 - 00002138 _____ C:\WINDOWS\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:10 - 2017-02-05 05:10 - 00002138 _____ C:\Program Files\Common Files\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Program Files\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\NetworkService\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\NetworkService\Local Settings\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\NetworkService\Local Settings\Application Data\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\NetworkService\Application Data\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\LocalService\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\LocalService\Local Settings\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\LocalService\Local Settings\Application Data\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\LocalService\Application Data\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Eis\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Eis\Start Menu\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Eis\Start Menu\Programs\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Eis\My Documents\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Eis\Local Settings\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Eis\Local Settings\Application Data\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Eis\Desktop\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Eis\Application Data\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Default User\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Default User\Start Menu\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Default User\Start Menu\Programs\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Default User\My Documents\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Default User\Local Settings\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Default User\Local Settings\Application Data\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Default User\Desktop\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Default User\Application Data\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\All Users\Start Menu\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\All Users\Start Menu\Programs\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\All Users\Application Data\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Administrator\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Administrator\Start Menu\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Administrator\Start Menu\Programs\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Administrator\My Documents\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Administrator\Local Settings\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Administrator\Local Settings\Application Data\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Administrator\Desktop\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\Administrator\Application Data\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\adm\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\adm\Start Menu\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\adm\Start Menu\Programs\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\adm\My Documents\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\adm\Local Settings\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\adm\Local Settings\Application Data\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\adm\Desktop\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\adm\Application Data\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\__ViPNet_User__\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\__ViPNet_User__\Start Menu\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\__ViPNet_User__\Start Menu\Programs\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\__ViPNet_User__\My Documents\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\__ViPNet_User__\Local Settings\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\__ViPNet_User__\Local Settings\Application Data\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\__ViPNet_User__\Desktop\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\__ViPNet_User__\Application Data\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\__ViPNet_User__.WET\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\__ViPNet_User__.WET\Start Menu\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\__ViPNet_User__.WET\Start Menu\Programs\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\__ViPNet_User__.WET\My Documents\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\__ViPNet_User__.WET\Local Settings\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\__ViPNet_User__.WET\Local Settings\Application Data\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\__ViPNet_User__.WET\Desktop\ПРОЧТИ_МЕНЯ.txt
2017-02-05 05:09 - 2017-02-05 05:09 - 00002138 _____ C:\Documents and Settings\__ViPNet_User__.WET\Application Data\ПРОЧТИ_МЕНЯ.txt
AlternateDataStreams: C:\Microsoft UAM Volume:AFP_AfpInfo [122]
AlternateDataStreams: C:\Microsoft UAM Volume:AFP_DeskTop [90]
AlternateDataStreams: C:\Microsoft UAM Volume:AFP_IdIndex [2048]
HKLM\...\batfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <===== ATTENTION
HKLM\...\cmdfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <===== ATTENTION
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

[SiMargl]

Могу ошибаться, но закидывал ПРОЧТИ_МЕНЯ в архив с отчетом и файликами. Прилагаю еще раз)

ПРОЧТИ_МЕНЯ.txt

[Sandor]

Да, это я ошибся, т.к. файл был вне упакованных папок. Делайте фикс.

[SiMargl]

Выполнил, Fixlog прикладываю. 

Fixlog.txt

[Sandor]

Если есть созданные ранее резервные копии, вытаскивайте оттуда. Окончательный вердикт будет чуть позже.

[SiMargl]

Спасибо за помощь, буду ждать. Есть вероятность, что с этим вопросом поможет Тех.поддержка Лаборатории Касперского, при составлении заявки из личного кабинета физического лица?

[Sandor]

Если возможность есть, создайте запрос на расшифровку в любом случае. До окончания не удаляйте папку C:\FRST

[Sandor]

 

Здесь мы помочь с расшифровкой не сможем, увы.