Max0n 0 Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 Добрый день ! Пришло письмо с адреса ignatov.s@sberbank.ru с ссылкой http://www.sberbank.ru/downloads/individual/170-2017-05/id465865gte1703623465... (фактический переход на http://luxceram.ru/smartoptimizer/cache/schet_sber.html). По ссылке скачался архив Documents.zip в нем был файл ....xls.js После запуска файла вирус начал переименовывать файлы по следующему образцу: XZNlDpV-eR0OoJs5+nLELydHtSzvsQha21etC6sjeRzVzqAlDdD0onmpinoeHaSt.7CE2FFF06AF5177487E9.no_more_ransom Процесс был прерван, но часть файлов вирус успел переименовать. Компьютер был проверен KVRT (уничтожено 10 угроз) и после KAV (ничего не обнаружено). Во вложении архив с зашифрованными файлами и логи проверки AutoLogger Возможно ли восстановить зашифрованные файлы ? CollectionLog-2017.05.12-12.42.zip зашифрованные файлы.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 Здравствуйте! Возможно ли восстановить зашифрованные файлы ?Увы - нет. Для проверки и очистки возможных следов дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Max0n 0 Опубликовано 12 мая, 2017 Автор Share Опубликовано 12 мая, 2017 Удалось спасти копии файлов с помощью ShadowExplorer-0.9-portable Файлы с отчетами во вложении. Addition.txt FRST.txt Shortcut.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 Повезло. Обычно он теневые копии удаляет. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://i.search.metacrawler.com/?f=1&a=ironmc2&cd=2XzuyEtN2Y1L1QzuzyyE0D0EzztDtCtCtD0D0CtCtC0EtA0FtN0D0Tzu0CyCtCtBtN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu&cr=1110340088&ir= 2017-05-11 12:01 - 2017-05-12 10:07 - 00000000 __SHD C:\Users\Все пользователи\Windows 2017-05-11 12:01 - 2017-05-12 10:07 - 00000000 __SHD C:\ProgramData\Windows Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти