Перейти к содержанию

Зашифровало файлы в ".crypt", требует 1 биткоин

Rufren
 Share

Рекомендуемые сообщения

Rufren Новичок

Rufren

Опубликовано
Опубликовано

Здравствуйте!

 

Помогите пожалуйста с возникшей проблемой.

 

ПК подцепил вирус-шифровальщик. Зашифровал файлы и преобразовал их расширение в ".crypt".

Никакие утилиты по расшифровке не работают, так как файлы (зашифрованный и не зашифрованный) отличаются в размере...

 

ПК был очищен от вируса:   в ручную почистили реестр, удалили файлы во временных папках пользователей + прошлись утилитами Касперского и Др Веба.

 

Прикладываю архив, в нем логи и 2 файла (зашифрованный и не зашифрованный).

 

Заранее, спасибо!

CollectionLog+files.7z

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

С рассшировкой помочь не сможем.

 

"Пофиксите" в HijackThis:

O4-32 - HKLM\..\Run: [UniServerRun] D:\Web-Server\UniServerZ\UniController.exe pc_win_start (file missing)
O22 - Task (Ready): Driver Booster SkipUAC (admin) - C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe /skipuac (file missing)

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Start::
CreateRestorePoint:
GroupPolicyScripts: Restriction <==== ATTENTION
2017-07-23 11:45 - 2017-07-23 11:45 - 000004575 _____ C:\Users\Public\how_to_back_files.html
2017-07-23 11:45 - 2017-07-23 11:45 - 000004575 _____ C:\Users\Public\Downloads\how_to_back_files.html
2017-07-23 11:45 - 2017-07-23 11:45 - 000004575 _____ C:\Users\Public\Documents\how_to_back_files.html
2017-07-23 11:45 - 2017-07-23 11:45 - 000004575 _____ C:\Users\OFFICE1\how_to_back_files.html
2017-07-23 11:45 - 2017-07-23 11:45 - 000004575 _____ C:\Users\OFFICE1\Downloads\how_to_back_files.html
2017-07-23 11:45 - 2017-07-23 11:45 - 000004575 _____ C:\Users\OFFICE1\Documents\how_to_back_files.html
2017-07-23 11:45 - 2017-07-23 11:45 - 000004575 _____ C:\Users\OFFICE1\Desktop\how_to_back_files.html
2017-07-23 11:45 - 2017-07-23 11:45 - 000004575 _____ C:\Users\OFFICE1\AppData\Local\how_to_back_files.html
Reboot:
End::
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Azward
      Зашифровались файлы hop_dec
      От Azward
      Добрый день! 
      Зашифровались все файлы на рабочей машине. В том числе 1с базы.
      [MJ-CR7920861453](decodehop@gmail.com )   Все файлы с таким расширением.
      Отправил во вложении Архив с файлом, и логи FRST
      Надеемся на вашу помощь. Стоял касперский Small office security. Не помог. Сейчас вовсе исчез.
      virus.rar Addition.txt FRST.txt
    • Andrei Butyrchyk
      Зашифрованы файлы с расширением .mammn
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
    • Лариса B
      King зашифровал файлы организации
      От Лариса B
      Добрый день!
      В локальную сеть попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      К сожалению пока не удалось понять, как он попал и где нахоится источник(. 
      Но сегодня  ночью, по времени - все файлы  оказались зашифрованы. 

      Прикладывают  файлы, согласно правилам зашифрованные файлы + требования.rar

      Подскажите пож-та 
      1. Как найти источник   заражения, сам шифровальщик, какие есть методы 
      2. Как можно дешифровать  данные файлы 
       
      Спасибо большое!
    • specxpilot
      Вирус зашифровал файлы с расширением .iw8
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • hobbit86
      King Ransomware зашифровал файлы организации
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
×
×
  • Создать...