Перейти к содержанию

Зашифрованы файлы на ПК


Рекомендуемые сообщения

По почте подхватили шифровальщик, касперский определил как Trojan-Ransom.Win32.Gen.duh и перенёс в карантин, но файлы успели пострадать. Расширение у файлов не поменялось, но открыть их невозможно, говорит о повреждении файлов.

 

Пострадали как файлы ворда и экселя, так и файлы pdf с архивами. Пострадали причем файлы только на жестком диске, на сетевом диске файлы открываются, хотя у пользователя есть доступ на редактирования своей сетевой папки.

 

В папках где есть зашифрованные файлы, создаётся файл: README_NAN5qITp.html

 

Прошу помочь, заранее спасибо.

CollectionLog-2017.05.12-15.01.zip

README_NAN5qITp.html

Изменено пользователем mupts
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Также упакуйте и прикрепите пару поврежденных офисных документов.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicyScripts: Restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    2017-05-11 11:23 - 2017-05-11 11:23 - 00000111 ____R C:\Documents and Settings\arm_omts\Рабочий стол\README_NAN5qITp.html
    2017-05-11 11:23 - 2017-05-11 11:23 - 00000111 ____R C:\Documents and Settings\arm_omts\Мои документы\README_NAN5qITp.html
    2017-05-11 11:22 - 2017-05-11 11:22 - 00000111 ____R C:\Documents and Settings\arm_omts\README_NAN5qITp.html
    2017-05-11 11:05 - 2017-05-11 11:05 - 00000643 _____ C:\Documents and Settings.lnk
    2017-05-11 11:05 - 2017-05-11 11:05 - 00000625 _____ C:\Program Files.lnk
    2017-05-11 11:05 - 2017-05-11 11:05 - 00000625 _____ C:\2011-03 (мар).lnk
    2017-05-11 11:05 - 2017-05-11 11:05 - 00000623 _____ C:\My Documents.lnk
    2017-05-11 11:05 - 2017-05-11 11:05 - 00000621 _____ C:\spoolerlogs.lnk
    2017-05-11 11:05 - 2017-05-11 11:05 - 00000613 _____ C:\WINDOWS.lnk
    2017-05-11 11:05 - 2017-05-11 11:05 - 00000613 _____ C:\Basa_BK.lnk
    2017-05-11 11:05 - 2017-05-11 11:05 - 00000607 _____ C:\omts.lnk
    2017-05-11 11:05 - 2017-05-11 11:05 - 00000605 _____ C:\123.lnk
    2017-05-11 11:05 - 2017-05-11 11:05 - 00000601 _____ C:\1.lnk
    2017-05-11 11:05 - 2017-05-11 11:05 - 00000000 ____R C:\Documents and Settings\arm_omts\Application Data\NAN5qITp
    2017-05-12 14:26 - 2017-05-12 14:27 - 0000000 _____ () C:\Documents and Settings\arm_omts\Local Settings\Temp\df696522.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Увы, это Spora и способов расшифровки для него пока нет.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Если есть возможность, отложите поврежденные файлы "до лучших времен". Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------

Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 10 ActiveX v.10.0.22.87 Внимание! Скачать обновления

Adobe Reader XI (11.0.16) - Russian v.11.0.16 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

---------------------------- [ UnwantedApps ] -----------------------------

Auslogics DiskDefrag v.4.5.1.0 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Проверьте включена ли эта настройка.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Спасибо за рекомендации, 80% из них соблюдаются. Увы, сейчас ничто не может гарантировать полную защиту...

Изменено пользователем mupts
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

У меня тоже самое :( Копия такой же файл READMI в тех папках, где зашифрованы файлы Ворда, Экселя и PDF.

Зашифрованы только все общие документы в общей папке на Я.Диске.

 

Как я понимаю, мне тоже "отложить поврежденные файлы "до лучших времен""? Да?  :oh:

Ссылка на комментарий
Поделиться на другие сайты

@Logopas, здравствуйте!

 

Не пишите в чужой теме, это нарушение правил. Прочтите и выполните Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • tamerlan
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • Mep3aBEz
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
    • robocop1974
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
    • orbita06
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • MidgardS1
      Автор MidgardS1
      Привет! Столкнулись с таким же шифровальщиком. Подскажите, есть возможность расшифровать данные?
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы.
×
×
  • Создать...