Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте, получил в начале февраля 1 сотрудник письмецо с вложенным .doc

Там оказался файл .hta ну и пошло поехало...

Все файлы есть, но кодировка спутанная, подобрать своими силами никак само-собой.

Кодированный док приложил

 

 

 

Есть  образец .exe архивированный если нужно.

Да, юзер приперся с личным ПК, без какого-либо адекватного антивиря, еще и без теневого копирования...

 

Вдруг есть шанс вернуть файлики растяпе...

CollectionLog-2017.02.21-09.52.zip

RectorDecryptor.2.7.0.0_20.02.2017_11.21.29_log.rar

addition+frst.rar

RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY.rar

Уведомление.doc

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AVG Web TuneUp

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY.html [2017-02-09] ()
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
BHO: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files\AVG Web TuneUp\4.3.6.255\AVG Web TuneUp.dll [2017-01-20] (AVG)
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
2017-02-16 09:30 - 2017-02-16 09:30 - 00016715 _____ C:\Users\Администратор\AppData\Roaming\RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY.html
2017-02-16 09:30 - 2017-02-16 09:30 - 00016715 _____ C:\RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY.html
2017-02-16 09:30 - 2017-02-16 09:30 - 00001088 _____ C:\Users\Администратор\AppData\Roaming\RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY
2017-02-16 09:29 - 2017-02-16 09:31 - 24822728 _____ C:\Users\Администратор\AppData\Roaming\2493016382
2017-02-09 08:27 - 2017-02-09 08:27 - 00016721 _____ C:\Users\Дмитрий\AppData\Roaming\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY.html
2017-02-09 08:27 - 2017-02-09 08:27 - 00016721 _____ C:\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY.html
2017-02-09 08:27 - 2017-02-09 08:27 - 00001088 _____ C:\Users\Дмитрий\AppData\Roaming\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY
2017-02-09 08:21 - 2017-02-09 10:17 - 27880088 _____ C:\Users\Дмитрий\AppData\Roaming\2493016382
2016-08-26 14:32 - 2016-08-11 16:33 - 5168856 _____ (Mail.Ru) C:\Users\Дмитрий\AppData\Local\Temp\MailRuUpdater.exe
Task: {1A68A3B8-2A79-44AB-9B89-E491D368C0EF} - System32\Tasks\MailRuUpdater => C:\Users\Дмитрий\AppData\Local\Mail.Ru\MailRuUpdater.exe [2017-01-18] (Mail.Ru)
Task: C:\Windows\Tasks\0615tbUpdateInfo.job => C:\ProgramData\Avg_Update_0615tb\0615tb_{50C5F499-1B12-4AE9-82DF-499548ADB19A}.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

т.е. единственное что сейчас можно сделать-  это архив всех файлов и ждать пока появится дешифратор?

Такую вероятность рассматривали, в принципе готовы...

Есть ли какая-нибудь функция уведомления? Получить сообщение на почту, например, когда появится способ вернуть файлы.

Ссылка на комментарий
Поделиться на другие сайты

архив всех файлов и ждать пока появится дешифратор?

Да.

 

Есть ли какая-нибудь функция уведомления?

Нет, следите здесь: https://www.nomoreransom.org/ru/index.html
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...