Вирус-шифровальщик

[VictorMN]

В систему залез вирус. зашифровал базы и другие файлы. Подскажите, можно дешифровать все зашифрованное добро, и как можно это сделать или кто может помочь?

CollectionLog-2017.07.20-17.52.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[VictorMN]

Добрый вечер.

вот логи frst

frst_logs.rar

[thyrex]

Я правильно понимаю, что имена файлов не изменились после шифрования?

[VictorMN]

к имени каждого зашифрованного файла добавлено ___ggghhh123@meta.ua

[thyrex]

В предоставленных логах нет ни одного подобного файла. Что в папке C:\adfs ?

[VictorMN]

в папке 2 ехе файла: fmon.exe и winsrvs.exe

 

странно что в логах нет. на диске F: много зашифрованных файлов.

похоже он избирательно  шифрует файлы

[thyrex]

Т.е. файлы продолжают шифроваться? Утилиты проверяют только системный диск.

 

Эти файлы заархивируйте на любой другой диск с паролем virus, выложите на dropmefiles.com и ссылку пришлите мне в ЛС.

 

После этого скачайте на любой другой (не системный) диск какую-либо утилиту для восстановления удаленных данных (R-Studio или подобное) и попробуйте поискать удаленные в папке C:\adfs другие файлы

[VictorMN]

 в папке C:\adfs R-studio находит только эти же 2 файла fmon.exe и winsrvs.exe

[thyrex]

Шифрование произошло случайно не после обновления печально известной в последнее время программы M.E.doc ?

[VictorMN]

не исключено. medoc на компьютере тоже есть

есть шанс расшифровать файлы?

[thyrex]

Это плохой ответ.

 

Проверьте, возможно уцелели логи сервера, хотя в теле вируса и прописана их очистка. Если уцелели, смотрите, что возможно запускалось после обновления или после несанкционированного входа.

 

Добавлено: ищите на диске или в удаленных файл DECRIPT.txt

[VictorMN]

просмотрел журналы ничего не нашел. ошибки которые касаются ezvitinfo начались давно. за 17-20.07 ничего явно указывающего на вирус не нашел(((. может я не туда смотрел? подскажите куда глянуть? 

безопасность.rar

приложение.rar

система.rar

[thyrex]

Файл DECRIPT.txt есть на диске с шифрованными файлами? Если его там нет, смотрите на диске С или в удаленных с диска С

[VictorMN]

есть в каждой папке с зашифрованными файлами

вот текст

Чтобы расшифровать файлы, пишите: ggghhh123@meta.ua Укажите свой ПИН: 40