Зашифрованы файлы decrypthelp@qq.com

[Ирина Екименко 0]

Добрый день!

 

Спасииииииите!!!!!!

Вирус зашифровал все файлы .id-5A80EB5B.[decrypthelp@qq.com].arrow

 

Результаты сборщика логов в приложении

CollectionLog-2018.07.23-15.24.zip

[thyrex 1 412]

Увы, с расшифровкой помочь не сможем.

 

Будет только зачистка следова мусора.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Ирина Екименко 0]

Архив в приложении

Desktop.rar

[thyrex 1 412]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [C:\Users\pofygoo\AppData\Roaming\Info.hta] => C:\Users\pofygoo\AppData\Roaming\Info.hta [13921 2018-07-23] ()
HKLM\...\Run: [C:\Users\ADMIN\AppData\Roaming\Info.hta] => C:\Users\ADMIN\AppData\Roaming\Info.hta [13921 2018-07-23] ()
HKLM-x32\...\RunOnce: [{93869A7C-2836-41F0-9AFB-A0F3F1FA8888}] => cmd.exe /C start /D "C:\Users\ADMIN\AppData\Local\Temp" /B {93869A7C-2836-41F0-9AFB-A0F3F1FA8888}.cmd
Startup: C:\Users\pofygoo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-07-23] ()
R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [9037680 2018-04-25] (Reimage®)
2018-07-23 13:16 - 2018-07-23 13:18 - 000000000 ____D C:\rei
2018-07-23 13:16 - 2018-07-23 13:16 - 000004264 _____ C:\Windows\System32\Tasks\ReimageUpdater
2018-07-23 13:16 - 2018-07-23 13:16 - 000000000 ____D C:\Users\Все пользователи\Reimage Protector
2018-07-23 13:16 - 2018-07-23 13:16 - 000000000 ____D C:\ProgramData\Reimage Protector
2018-07-23 13:16 - 2018-07-23 13:16 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair
2018-07-23 13:16 - 2018-07-23 13:16 - 000000000 ____D C:\Program Files\Reimage
2018-07-23 13:15 - 2018-07-23 13:18 - 000000121 _____ C:\Windows\Reimage.ini
2018-07-23 11:59 - 2018-07-23 11:59 - 000013921 _____ C:\Users\ADMIN\AppData\Roaming\Info.hta
2018-07-23 11:33 - 2018-07-23 11:59 - 000013921 _____ C:\Windows\system32\Info.hta
2018-07-23 11:33 - 2018-07-23 11:59 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
Task: {C58F5472-5367-4B50-A7AD-7A959F0EF761} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [2018-04-25] (Reimage®) <==== ATTENTION

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.

[Ирина Екименко 0]

в приложении

Fixlog.txt

[thyrex 1 412]

Больше помочь нечем

[Ирина Екименко 0]

Что делать то с этим всем?

Убрать в долгий ящик и ждать, когда появится дешифратор?

Или забыть о всех файлах?

[thyrex 1 412]

Расшифровка первых версий этого шифратора появилась только после слива ключей самими злоумышленниками.