a.airat32 0 Опубликовано 6 августа, 2018 Share Опубликовано 6 августа, 2018 (изменено) Вирус зашифровал все документы на компьютере и переименовал их Прикрепленные файлы CollectionLog-2018.08.06-12.30.zip инструкция и пример файла.rar Изменено 6 августа, 2018 пользователем a.airat32 Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 6 августа, 2018 Share Опубликовано 6 августа, 2018 (изменено) С рассшифровкой помочь не сможем, только почистить хвосты. "Пофиксите" в HijackThis: O4 - HKCU\..\Run: [rlxov] = C:\Windows\system32\notepad.exe "C:\Users\Администратор\Инструкция по расшифровке файлов.TXT" Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Изменено 6 августа, 2018 пользователем regist Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 6 августа, 2018 Share Опубликовано 6 августа, 2018 + В присланном Вами файле с расширением .omerta просто переименованное сообщение вымогателей для связи. Пришлите в архиве пример другого зашифрованного файла. Ссылка на сообщение Поделиться на другие сайты
a.airat32 0 Опубликовано 6 августа, 2018 Автор Share Опубликовано 6 августа, 2018 Прикладываю файлы как и просили. и еще подскажите по какой причине у нас зашифровались файлы может это видно в логах. Спасибо. перезалил другой файл Addition.txt FRST.txt MHTeFmRnb~-G#.rar Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 6 августа, 2018 Share Опубликовано 6 августа, 2018 Пришлите в архиве пример другого зашифрованного файла. это тоже сделайте. + вижу у вас хвосты от Doctor Web это CureiT использовали или раньше был установлен? Если второе, то желательно вычистить от его хвостов. И если есть лицензия на них, то обратиться в их тех. поддержку (а вдруг смогут рассшифровать?). Если есть лицензия на KES, создайте запрос на расшифровку. + Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe FirewallRules: [{4B1E7A1C-A328-4D67-B2EA-4E3235728ED9}] => (Allow) %systemroot%\system32\scshost.exe FirewallRules: [{8EFF52FC-044A-4B4B-B89E-3771AAD46E73}] => (Allow) %systemroot%\system32\scshost.exe 2018-07-13 03:00 - 2018-07-13 03:00 - 000003554 _____ C:\Users\Администратор\Downloads\Инструкция по расшифровке файлов.TXT 2018-07-13 03:00 - 2018-07-13 03:00 - 000003554 _____ C:\Users\Администратор\Documents\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 03:01 - 000003554 _____ C:\Users\Администратор\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 03:01 - 000003554 _____ C:\Users\Администратор\Desktop\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\TEMP\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\TEMP.CROWN\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\TEMP.CROWN.000\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Public\Documents\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Downloads\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Documents\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Desktop\Инструкция по расшифровке файлов.TXT Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Ссылка на сообщение Поделиться на другие сайты
a.airat32 0 Опубликовано 6 августа, 2018 Автор Share Опубликовано 6 августа, 2018 Приклепил + В присланном Вами файле с расширением .omerta просто переименованное сообщение вымогателей для связи. Пришлите в архиве пример другого зашифрованного файла. Как вы это поняли? файл работы программы пример зашифрованного файла Fixlog.txt Fixlog.txt MHTeFmRnb~-G#.rar Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 6 августа, 2018 Share Опубликовано 6 августа, 2018 и еще подскажите по какой причине у нас зашифровались файлы может это видно в логах шифрование шло ночью. Значит был вход по RDP. Пароль от него смените. Как вы это поняли? просто открыл содержимое. Да и размер у него с точностью до байта совпадает с размером файла от вымогателей для связи. Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 6 августа, 2018 Share Опубликовано 6 августа, 2018 @a.airat32, имейте элементарное терпение. Мы тут помогаем в своё личное свободное время, когда не заняты работой и другими делами. И помогаем ещё и на других форумах. Так что требовать, чтобы через пять минут после вашего поста вам писали ответ это верх нахальства. Тем более по делу всё уже выше было написано. Только добавлю Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. 1 Ссылка на сообщение Поделиться на другие сайты
snip_cs@list.ru 0 Опубликовано 27 сентября, 2018 Share Опубликовано 27 сентября, 2018 Пара.rar Вот приложил небольшой файл (оригинал и зашифрованный вариант)Если есть вариант дешифровки буду очень рад, так как я целый диск законсервировал в ожидании восстановить все зашифрованные файлы. Пара.rar Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 27 сентября, 2018 Share Опубликовано 27 сентября, 2018 @snip_cs@list.ru, не пишите в чужой теме. Порядок оформления запроса о помощиОсобенно внимательно пункт №3 прочитайте. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти