crysis Зашифровались файлы в arrow

[Mr7john]

Добрый день зашифровались все данные в формат arow. По примеру название файла.расширение.id-36BA4735.[letmehelpyou@cock.li].arrow. Заранее спасибо за помощь.

CollectionLog-2018.04.04-14.09.zip

report1.log

report2.log

Пример зашифрованного файла.rar

[Sandor]

Здравствуйте!

 

Тип вымогателя Dharma (.cezar), расшифровки нет.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter 4

Дополнительно для очистки следов вредоноса:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Mr7john]

Спсибо за оперативный ответ. А надежда на возможность расшифровки данных существует?

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

удалите нежелательное ПО: Цитата SpyHunter 4

Почему не удалили?

 

надежда на возможность расшифровки данных существует?

Существует, хоть и весьма призрачная.

[Mr7john]

Удалена Перезагрузку еще не произвел после удаления.

 

удалите нежелательное ПО: Цитата SpyHunter 4

Почему не удалили?

надежда на возможность расшифровки данных существует?

Существует, хоть и весьма призрачная.

 

Касперский распознал этот вирус как 

                                                Trojan-Ransom.Win32.Crusis

[Sandor]

Перезагрузку еще не произвел после удаления

Перезагрузите и соберите заново логи FRST.

[Mr7john]

Подскажите пожалуйста как поступить с системой сносить все? или поднять новую на новом харде а эти оставить до лучших времен?

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\...\Run: [C:\Users\Reception\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\Reception\AppData\Roaming\Info.hta"
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-3970354392-2723684090-2717606455-500\...\Run: [{569F382A-9933-054E-DAFA-EDEF8710A972}] => c:\programdata\{ca8f101a-b103-995e-dafa-edef8710a972}\6730c085.exe
  BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
  BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
  BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
  BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
  Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} -  No File
  Filter: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} -  No File
  2018-04-03 00:17 - 2018-04-03 00:17 - 000013927 _____ C:\Windows\system32\Info.hta
  2018-04-03 00:17 - 2018-04-03 00:17 - 000000174 _____ C:\Users\Reception\Desktop\FILES ENCRYPTED.txt
  2018-04-03 00:17 - 2018-04-03 00:17 - 000000174 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
  Task: {406FF334-BC5E-4BA1-9C05-55594912D7E9} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-24] () <==== ATTENTION
  Task: {4F5F5951-07B0-43F9-A2D5-934252B58816} - System32\Tasks\{569F382A-9933-054E-DAFA-EDEF8710A972} => c:\programdata\{CA8F101A-B103-995E-DAFA-EDEF8710A972}\6730c085.exe <==== ATTENTION
  Task: {775663E7-4B43-4943-949D-72F360FC3072} - System32\Tasks\ParetoLogic Registration3 => C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll" RunUns
  Task: {A94B981E-F7E8-4AAC-8F16-BFB072C51121} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-24] () <==== ATTENTION
  Task: C:\Windows\Tasks\ParetoLogic Registration3.job => rundll32.exe  C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
  Task: C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
  Task: C:\Windows\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Mr7john]

Прикрепил

Addition - копия.txt

Shortcut - копия.txt

FRST.txt

[Sandor]

Будьте внимательны. Нужно проделать именно то, что написано в сообщении №8.

[ulnataliya]

Добрый день зашифровались все данные в формат arrow.

 

Файлы прикрепила.

помогите, как расшифровать:?

спасибо

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

@ulnataliya, здравствуйте!

 

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи