Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Добрый день!

 

Компьютер был атакован вирусом шифровальщиком "email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-4167076059-07.02.2018 10@06@279858514.fname" файлы стали с расширением "fairytail"  . Существует ли способ расшифровки? Если нет, то примерно как скоро появляется способ расшифровки вирусов такого типа.

CollectionLog-2018.03.15-14.42.zip

Изменено пользователем rpnmo
Опубликовано

Здравствуйте!

 

Один из файлов README.txt, а также пару зашифрованный и его не зашифрованный оригинал (ищите такой в резервных копиях, в почте, на других ПК и т.п.) упакуйте в архив и прикрепите к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    FF SearchPlugin: C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-4167076059-07.02.2018 10@06@279858514.fname-mailru.xml.fairytail [2018-02-07]
    FF SearchPlugin: C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-4167076059-07.02.2018 10@06@279858514.fname-README.txt.fairytail [2018-03-14]
    FF SearchPlugin: C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-4167076059-07.02.2018 10@06@279858514.fname-yandex.ru-131039.xml.fairytail [2018-02-07]
    FF SearchPlugin: C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\README.txt [2018-03-14]
    2018-03-14 10:50 - 2018-03-14 10:50 - 000000380 _____ C:\README.txt
    2018-03-14 10:47 - 2018-03-14 10:47 - 000000380 _____ C:\Program Files\README.txt
    2018-03-14 10:43 - 2018-03-14 10:43 - 000000380 _____ C:\Program Files\Common Files\README.txt
    2018-03-14 10:39 - 2018-03-14 11:39 - 000001620 _____ C:\Documents and Settings\Пользователь\Рабочий стол\email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-4167076059-07.02.2018 10@06@279858514.fname-README.txt.fairytail
    2018-03-14 10:39 - 2018-03-14 11:39 - 000000380 _____ C:\Documents and Settings\Пользователь\Рабочий стол\README.txt
    2018-03-14 10:39 - 2018-03-14 10:39 - 000000380 _____ C:\Documents and Settings\Пользователь\Мои документы\README.txt
    2018-03-14 10:39 - 2018-03-14 10:39 - 000000380 _____ C:\Documents and Settings\Пользователь\README.txt
    2018-03-14 10:39 - 2018-03-14 10:39 - 000000380 _____ C:\Documents and Settings\README.txt
    2018-03-14 10:38 - 2018-03-14 10:38 - 000000380 _____ C:\Documents and Settings\Пользователь\Главное меню\Программы\README.txt
    2018-03-14 10:38 - 2018-03-14 10:38 - 000000380 _____ C:\Documents and Settings\Пользователь\Главное меню\README.txt
    2018-03-14 10:37 - 2018-03-14 10:37 - 000000380 _____ C:\Documents and Settings\Пользователь\Local Settings\README.txt
    2018-03-14 10:26 - 2018-03-14 10:26 - 000000380 _____ C:\Documents and Settings\Пользователь\Local Settings\Application Data\README.txt
    2018-03-14 10:20 - 2018-03-14 10:20 - 000000380 _____ C:\Documents and Settings\Пользователь\Application Data\README.txt
    2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Пользователь\AppData\README.txt
    2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Пользователь\AppData\LocalLow\README.txt
    2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\Рабочий стол\README.txt
    2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\Главное меню\Программы\README.txt
    2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\Главное меню\README.txt
    2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\README.txt
    2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\Local Settings\README.txt
    2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\Local Settings\Application Data\README.txt
    2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\Администратор\Application Data\README.txt
    2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\All Users\Рабочий стол\README.txt
    2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\All Users\Главное меню\Программы\README.txt
    2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\All Users\Главное меню\README.txt
    2018-03-14 10:17 - 2018-03-14 10:17 - 000000380 _____ C:\Documents and Settings\All Users\README.txt
    AV: IObit Malware Fighter (Disabled - Out of date) {0ED16AC2-4656-4907-BD42-21EA693640D6}
    ContextMenuHandlers1: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} =>  -> No File
    ContextMenuHandlers6: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} =>  -> No File
    Task: C:\WINDOWS\Tasks\ParetoLogic Registration3.job => rundll32.exe  C:\Program Files\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
    Task: C:\WINDOWS\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
    Task: C:\WINDOWS\Tasks\ParetoLogic Update Version3.job => C:\Program Files\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
    DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报
    DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件
    StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报
    StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Опубликовано

Расшифровка прошла успешно! БОльшая часть файлов расшифрована. Огромное спасибо!

Опубликовано
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Вован Свидерский
      Автор Вован Свидерский
      Вирус зашифровал фотографии и они теперь стали называться email-gerkaman@aol.com.ver-CL 1.0.0.0.id-IJJKLLMNOPPPQRSTTTUVWXYYYZABBCCDEFFG-08.09.2015 10@50@484955357.randomname-KKLMNOOPQRSSTTUVWXXXYZABBBCDEF.GGH
       из-за чего произошло, незнаю. 
    • Alex8866
      Автор Alex8866
      Помогите, пожалуйста, расшифровать файлы. зашифрованы многие файлы ворда, экселя, картинки и фото.
      В названии файлов вначале - email-moshiax@aol.com.ver-CL 1.0.0.0.id
      Расширение у них .cbf
      CollectionLog-2015.10.13-18.24.zip
    • rubin51
      Автор rubin51
      Здравствуйте! Зашифровались файлы. После открытия письма зашифровались файлы на компьютере.
      Теперь невозможно открыть файлы.
      Все зашифрованные файлы теперь называются email-moshiax@aol.com.ver-CL 1.0.0.0.id-JMPSWYCEHKNQTWZCFILNRTWZCFILNRTWACFI-08.10.2015 8@57@528941935.randomname-RXCGKMPTVYBEHLNQUWZCFHLNQTWZCF.IMP.cbf
      Просим помощи в расшифровании наших файлов.
    • Galaa
      Автор Galaa
      Добрый день, сегодня по эл.почте отделом закупок было получено письмо с вложением договор.rar.
      Пользователь распаковал архив, попытался открыть файл... В результате все файлы на ПК зашифрованы
      (имеют вид: email-Igor_svetlov2@ com.ver-CL1.0.0.0id................ .cbf).
      Следуя инструкции, размещенной на форуме, выкладываю логи, полученные на данном ПК.
      Компьютер был на момент проверки отключен от сети и интернет...
       
      CollectionLog-2015.10.09-11.22.zip
    • Riv
      Автор Riv
      Здравствуйте.
      Коллега открыла письмо,которое пришло на почту.
       
      Сейчас на весь экран надпись :
      "твои файлы зашифрованы,если хочешь все вернуть отправь 1 зашифрованный файл на эту почту :Seven_Legion2@aol.com
       Внимание!!! у вас есть 1 неделя что-бы написать на почту по происшествии этого срока расшифровка станет не возможна!!! "
       
      Зашифровалось все вчера утром расширением .CBF
       
      Просканировали все Dr.Web Curelt  - нашел один троян "Trojan.Packed.24524" Удалили его.
       
      Прикрепили файл протоколов.
       
      Помогите пожалуйста.
      CollectionLog-2015.10.09-09.11.zip
×
×
  • Создать...