Max0n Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 Добрый день ! Пришло письмо с адреса ignatov.s@sberbank.ru с ссылкой http://www.sberbank.ru/downloads/individual/170-2017-05/id465865gte1703623465... (фактический переход на http://luxceram.ru/smartoptimizer/cache/schet_sber.html). По ссылке скачался архив Documents.zip в нем был файл ....xls.js После запуска файла вирус начал переименовывать файлы по следующему образцу: XZNlDpV-eR0OoJs5+nLELydHtSzvsQha21etC6sjeRzVzqAlDdD0onmpinoeHaSt.7CE2FFF06AF5177487E9.no_more_ransom Процесс был прерван, но часть файлов вирус успел переименовать. Компьютер был проверен KVRT (уничтожено 10 угроз) и после KAV (ничего не обнаружено). Во вложении архив с зашифрованными файлами и логи проверки AutoLogger Возможно ли восстановить зашифрованные файлы ? CollectionLog-2017.05.12-12.42.zip зашифрованные файлы.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 Здравствуйте! Возможно ли восстановить зашифрованные файлы ?Увы - нет. Для проверки и очистки возможных следов дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Max0n Опубликовано 12 мая, 2017 Автор Share Опубликовано 12 мая, 2017 Удалось спасти копии файлов с помощью ShadowExplorer-0.9-portable Файлы с отчетами во вложении. Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 Повезло. Обычно он теневые копии удаляет. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://i.search.metacrawler.com/?f=1&a=ironmc2&cd=2XzuyEtN2Y1L1QzuzyyE0D0EzztDtCtCtD0D0CtCtC0EtA0FtN0D0Tzu0CyCtCtBtN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu&cr=1110340088&ir= 2017-05-11 12:01 - 2017-05-12 10:07 - 00000000 __SHD C:\Users\Все пользователи\Windows 2017-05-11 12:01 - 2017-05-12 10:07 - 00000000 __SHD C:\ProgramData\Windows Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти