Шифровальщик .hacked

[rusyaka]

Здравствуйте, один нехороший человек, удаленно, получил доступ к серверу и зашифровал все файлы и файлы расположены на других компьютерах в сети в общем доступе.

Помогите с расшифровкой, если это возможно.

CollectionLog-2017.09.15-12.53.zip

Инструкции по восстановлению зашифрованных файлов.TXT

Изменено 15 сентября, 2017 пользователем rusyaka

[Sandor]

Здравствуйте!

 

Программа удаленного управления

C:\Users\admin\desktop\aa_v3.5.exe

Вам знакома? Если нет, удалите.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Пару небольших зашифрованных офисных документов упакуйте и тоже прикрепите к следующему сообщению.

[rusyaka]

Здравствуйте!

 

Программа удаленного управления

C:\Users\admin\desktop\aa_v3.5.exe

Вам знакома? Если нет, удалите.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Пару небольших зашифрованных офисных документов упакуйте и тоже прикрепите к следующему сообщению.

 

 

 

AA3.5 это AmmyeAdmin Эта программа удаленного управления, я ей пользуюсь, это аналог TeemViewer

log.rar

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ATTENTION
  HKLM Group Policy restriction on software: %AppData%\uTorrent <==== ATTENTION
  HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ATTENTION
  GroupPolicy: Restriction <==== ATTENTION
  GroupPolicy\User: Restriction <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = hxxp://www.default-search.net/search?sid=492&aid=320&itype=n&ver=13892&tm=515&src=ds&p={searchTerms}
  SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = hxxp://www.default-search.net/search?sid=492&aid=320&itype=n&ver=13892&tm=515&src=ds&p={searchTerms}
  BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
  BHO-x32: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File
  Task: {F6AF13D9-B232-493C-A662-35B7AFCFBB6A} - \Microsoft\Windows\RemoteApp and Desktop Connections Update\rds@dc1.dst3\Process policy -> No File <==== ATTENTION
  Task: {FA6A15F4-FCB7-4D66-AAF8-FAEE81CC83A4} - \Microsoft\Windows\RemoteApp and Desktop Connections Update\Админ\Process policy -> No File <==== ATTENTION
  HKLM\...\.reg: OOREGEDIT.Document => C:\Users\Админ\AppData\Local\Temp\Rar$EX15.512\OORegEdt.exe "%1" <==== ATTENTION
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[rusyaka]

готово

Fixlog.txt

[Sandor]

Расшифровки пока нет. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

[rusyaka]

Расшифровки пока нет. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Жаль.

Спасибо!

[rusyaka]

У Др.Веб оказался дешифровщик, за покупку одной лицензии помогли.

я нашел этот скрипт, если нужен могу выслать

[Sandor]

Какой скрипт?

[rusyaka]

шифровальщик

[Sandor]

Упакуйте с паролем и отправьте мне в ЛС.

[rusyaka]

Готово

[Sandor]

Получил, спасибо!