Зашифровало файлы, что то новенькое.

[Андрей061]

Пришло в бухгалтерию письмо, тётки открыли по незнанию архив и произошло шифрование файлов,но видимо на этот раз -  что то новенькое. Расширения файлов увеличилось на  "   .h11xj22qpk " в конце и ни одно П,О. помочь в расшифровке не смогло. Может ещё есть шансы расшифровать файлы ? 

CollectionLog-2017.12.04-14.48.zip

report1.log

report2.log

[Sandor]

Здравствуйте!

 

Если есть записка с требованием выкупа (обычно это текстовый или html файл), ее и пару зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Андрей061]

Записок и требований нет, образцы прикрепляю, также лог файл.  

образец.rar

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[thyrex]

А письмо ваши тетки сохранили или удалили с глаз долой?

[Андрей061]

Прикрепляю файлы отчетов, согласно действиям в изложенной Вами инструкции.

 

зы

Письмо удалили, в основной почте с сервера gmail.com его  удалил  видимо файрвол, а вот bat подтянул с сервера его в свою оболочку.  

 

Письмо от организации ООО "Строймаркет" называлось "Акт сверки"  .

AdwCleanerC0.txt

Addition.txt

FRST.txt

Shortcut.txt

Изменено 4 декабря, 2017 пользователем Андрей061

[Sandor]

Письмо от организации

С какого оно было адреса можете посмотреть?

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1Qzu0B0C0A0E0CyD0AyCzy0FyD0FyEtA0FtAtN0D0Tzu0CtAzyyCtN1L2XzutBtFtBtFtCtFyEtDyB&cr=603666176
  SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1Qzu0B0C0A0E0CyD0AyCzy0FyD0FyEtA0FtAtN0D0Tzu0CtAzyyCtN1L2XzutBtFtBtFtCtFyEtDyB&cr=603666176
  SearchScopes: HKU\S-1-5-21-1585616680-373563518-2556915518-1000 -> {6B9D5799-9824-3C0C-AD92-60D9147FF5A6} URL = hxxp://isearch.avg.com/search?cid={B27C39B3-058B-421D-B54D-9B2EC637FEB4}&mid=401f8b855c1c47d0b17e6de7834276ac-1066caac9d9f26e6ff3fc65f2786fe733188f31a&lang=ru&ds=lw011&pr=sa&d=2013-01-29 15:22:34&v=13.2.0.4&sap=dsp&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-1585616680-373563518-2556915518-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B272F9185-CBC6-439C-A207-57B168EE0B76%7D&gp=789219
  BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
  C:\Users\ASB7\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbjciahceamgodcoidkjpchnokgfpphh
  C:\Users\ASB7\AppData\Roaming\Opera Software\Opera Stable\Extensions\hnbekdjpdldejohkmdonijjglpohocgo
  Task: {4A9313B2-F2BA-4E4B-8985-A59DEAC357E7} - System32\Tasks\ROC_JAN2013_TB_ASB7 => C:\Program Files\AVG Secure Search\ROC_JAN2013_TB.exe
  Task: C:\Windows\Tasks\ROC_JAN2013_TB_rmv.job => C:\Program Files\AVG Secure Search\PostInstall\ROC.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Андрей061]

К сожалению уже никто адреса не помнит, откуда пришло это письмо. 

Fixlog.txt

[Sandor]

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.