Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

06.06.2018г. был зашифрован пк. файлы на компьютере стали с маской xser@tutanota.com

Каким образом произошла шифрация неизвестно, никаких конкретных действий по запуску тела вируса не производилось.

Зашифрованы не все файлы на компьютере, некоторые остались не тронутыми (даже word и pdf).

Пожалуйста, помогите расшифровать.

Логи в прикрепленном архиве

Ссылка на сообщение
Поделиться на другие сайты

Каким образом произошла шифрация неизвестно

Подобрали пароль от RDP и зашли.

 

Примеры зашифрованных файлов и файл README.txt от вымогателей прикрепите в архиве к следующему сообщению.

 

+ Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Ищите все до единого файлы README.txt и прикрепляйте в архиве к следующему сообщению. Если есть другие пострадавшие компьютеры, связанные с данным, нужны файлы и с этих компьютеров

Ссылка на сообщение
Поделиться на другие сайты

зашифрован только этот пк.

в прикрепленном файле архив с readme-требования мошенников. 

нужны ли файлы readme, например из папки program files, не тронутые шифрацией?

readme.7z

Ссылка на сообщение
Поделиться на другие сайты

нужны ли файлы readme, например из папки program files, не тронутые шифрацией?

Если в них такое же сообщение от вымогателей, то нужны.

 

Тут все дело в том, что этот шифратор не всегда переименовывает файлы после шифрования. Так что если в папке есть правильные README.txt от вымогателей, то есть шанс, что и шифрованные файлы тоже будут

Ссылка на сообщение
Поделиться на другие сайты

readme в которых было сообщение от вымогателей все высланы,

 

не высланы те в которых текст не от вымогателей (например лицензионное соглашение canon в папке program files. как был до шифрования текст соглашения так и остался после шифрования).

Ссылка на сообщение
Поделиться на другие сайты

Пришлите этот файл

C:\Users\User\Desktop\копия 1с хтр еп 180815\1SBDB_ХолдингТехРесурс\ExtForms\Rp11q4.grp\xser@tutanota.com_3532616B63697A332E786C73

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...