a.airat32 Опубликовано 6 августа, 2018 Опубликовано 6 августа, 2018 (изменено) Вирус зашифровал все документы на компьютере и переименовал их Прикрепленные файлы CollectionLog-2018.08.06-12.30.zip инструкция и пример файла.rar Изменено 6 августа, 2018 пользователем a.airat32
regist Опубликовано 6 августа, 2018 Опубликовано 6 августа, 2018 (изменено) С рассшифровкой помочь не сможем, только почистить хвосты. "Пофиксите" в HijackThis: O4 - HKCU\..\Run: [rlxov] = C:\Windows\system32\notepad.exe "C:\Users\Администратор\Инструкция по расшифровке файлов.TXT" Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Изменено 6 августа, 2018 пользователем regist
thyrex Опубликовано 6 августа, 2018 Опубликовано 6 августа, 2018 + В присланном Вами файле с расширением .omerta просто переименованное сообщение вымогателей для связи. Пришлите в архиве пример другого зашифрованного файла.
a.airat32 Опубликовано 6 августа, 2018 Автор Опубликовано 6 августа, 2018 Прикладываю файлы как и просили. и еще подскажите по какой причине у нас зашифровались файлы может это видно в логах. Спасибо. перезалил другой файл Addition.txt FRST.txt MHTeFmRnb~-G#.rar
regist Опубликовано 6 августа, 2018 Опубликовано 6 августа, 2018 Пришлите в архиве пример другого зашифрованного файла. это тоже сделайте. + вижу у вас хвосты от Doctor Web это CureiT использовали или раньше был установлен? Если второе, то желательно вычистить от его хвостов. И если есть лицензия на них, то обратиться в их тех. поддержку (а вдруг смогут рассшифровать?). Если есть лицензия на KES, создайте запрос на расшифровку. + Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe FirewallRules: [{4B1E7A1C-A328-4D67-B2EA-4E3235728ED9}] => (Allow) %systemroot%\system32\scshost.exe FirewallRules: [{8EFF52FC-044A-4B4B-B89E-3771AAD46E73}] => (Allow) %systemroot%\system32\scshost.exe 2018-07-13 03:00 - 2018-07-13 03:00 - 000003554 _____ C:\Users\Администратор\Downloads\Инструкция по расшифровке файлов.TXT 2018-07-13 03:00 - 2018-07-13 03:00 - 000003554 _____ C:\Users\Администратор\Documents\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 03:01 - 000003554 _____ C:\Users\Администратор\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 03:01 - 000003554 _____ C:\Users\Администратор\Desktop\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\TEMP\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\TEMP.CROWN\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\TEMP.CROWN.000\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Public\Documents\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Downloads\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Documents\Инструкция по расшифровке файлов.TXT 2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Desktop\Инструкция по расшифровке файлов.TXT Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически.
a.airat32 Опубликовано 6 августа, 2018 Автор Опубликовано 6 августа, 2018 Приклепил + В присланном Вами файле с расширением .omerta просто переименованное сообщение вымогателей для связи. Пришлите в архиве пример другого зашифрованного файла. Как вы это поняли? файл работы программы пример зашифрованного файла Fixlog.txt Fixlog.txt MHTeFmRnb~-G#.rar
thyrex Опубликовано 6 августа, 2018 Опубликовано 6 августа, 2018 и еще подскажите по какой причине у нас зашифровались файлы может это видно в логах шифрование шло ночью. Значит был вход по RDP. Пароль от него смените. Как вы это поняли? просто открыл содержимое. Да и размер у него с точностью до байта совпадает с размером файла от вымогателей для связи.
regist Опубликовано 6 августа, 2018 Опубликовано 6 августа, 2018 @a.airat32, имейте элементарное терпение. Мы тут помогаем в своё личное свободное время, когда не заняты работой и другими делами. И помогаем ещё и на других форумах. Так что требовать, чтобы через пять минут после вашего поста вам писали ответ это верх нахальства. Тем более по делу всё уже выше было написано. Только добавлю Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. 1
snip_cs@list.ru Опубликовано 27 сентября, 2018 Опубликовано 27 сентября, 2018 Пара.rar Вот приложил небольшой файл (оригинал и зашифрованный вариант)Если есть вариант дешифровки буду очень рад, так как я целый диск законсервировал в ожидании восстановить все зашифрованные файлы. Пара.rar
regist Опубликовано 27 сентября, 2018 Опубликовано 27 сентября, 2018 @snip_cs@list.ru, не пишите в чужой теме. Порядок оформления запроса о помощиОсобенно внимательно пункт №3 прочитайте.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти