Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Прошу помощи в восстановлении информации, зашифрованной злоумышленником

support@decrypt-files.info

 

Расширения файлов разные (xyz, xyy, vww и т.д.)

Предположительно, ПК был атакован взломом пароля от RDP (т.е. имел место быть непосредственный доступ к информации).

 

Лог прилагаю, надеюсь на помощь

CollectionLog-2018.10.17-10.49.zip

Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Опубликовано

Папки

2018-10-17 12:40 - 2018-10-17 12:40 - 000000000 ____D C:\ProgramData\sb6s
2018-10-17 12:36 - 2018-10-17 12:36 - 000000000 ____D C:\ProgramData\s6f8
2018-10-17 12:36 - 2018-10-17 12:36 - 000000000 ____D C:\ProgramData\s1fk
2018-10-17 12:35 - 2018-10-17 12:35 - 000000000 ____D C:\ProgramData\s9rk
2018-10-17 12:35 - 2018-10-17 12:35 - 000000000 ____D C:\ProgramData\s61s
2018-10-17 12:35 - 2018-10-17 12:35 - 000000000 ____D C:\ProgramData\s57g

 

и файл

2018-10-17 10:38 - 2018-10-17 10:38 - 001660472 _____ C:\Users\Пользователь\Desktop\winbox.exe

 

Вам известны?

Что в папке C:\Decrypt ?

Опубликовано (изменено)

@thyrex,

2018-10-17 12:40 - 2018-10-17 12:40 - 000000000 ____D C:\ProgramData\sb6s
2018-10-17 12:36 - 2018-10-17 12:36 - 000000000 ____D C:\ProgramData\s6f8
2018-10-17 12:36 - 2018-10-17 12:36 - 000000000 ____D C:\ProgramData\s1fk
2018-10-17 12:35 - 2018-10-17 12:35 - 000000000 ____D C:\ProgramData\s9rk
2018-10-17 12:35 - 2018-10-17 12:35 - 000000000 ____D C:\ProgramData\s61s
2018-10-17 12:35 - 2018-10-17 12:35 - 000000000 ____D C:\ProgramData\s57g

 

неизвестны

 

winbox - утилита управления роутером - скачал, чтобы закрыть порт

 

в папке Decrypt образцы файлов для отправки в саппорты по расшифровке

 

Я параллельно выполнял сбор информации от техподдержки Касперского

 

Само заражение было чуть позднее в 7 утра, о чем свидетельствуют даты зашифрованных файлов и время самого логона по RDP

Изменено пользователем bluesrocker
Опубликовано

Тогда эти папки удалите, сообщения вымогателей для связи тоже. Нашими силами расшифровка невозможна, продолжайте общение с техподдержкой.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Алексей Половков
      Автор Алексей Половков
      Здравствуйте. Поймали шифратор. В архиве оригинальный, зашифрованный файлы и сам вирус в архиве (пароль 12345).
      Комп от вируса очищен. Возможно ли расшифровать?
      документы.rar
    • Михаил Пряженцев
      Автор Михаил Пряженцев
      Доброе время всем, на работе случилось несчастье, вордовские файлы зашифровались, подцепил вирус в письме по электронке! помогите расшифровать
      заранее благодарен
    • Натали Инфинити
      Автор Натали Инфинити
      Рабочий комп заразился вирусом, который большую часть важных баз данных и прочих файлов переименовал в подобные имена файлов:
      email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-JWNUVCILOLORVYYEELORXBEHKNQXDGKNTWZD-05.11.2015 12@56@411479365.randomname-LNOYNAKHBVROPPMGQMJDNHEXHBVSCV.HNR.cbf

      Kaspersky Virus Removal Tool показал следующее:
       

       
      Запуск AVZ собрал вот эти логи (судя по инструкции):
       
      KL_syscure.zip
    • Bambuk72
      Автор Bambuk72
      Добрый день!
      Пользователь получил письмо и запустил прикрепленный файл.
      Результат не заставил себя ждать. Файлы зашифрованы.
      Посмотрите пожалуйста.
      CollectionLog-2015.11.06-16.24.zip
    • ProntoAndrey
      Автор ProntoAndrey
      Здравствуйте! При обычной работе с почтовой программой Bat и обработке почтовых писем в один момент все файлы превратились в формат .cbf и через часа два на рабочем столе образовалась надпись "Твои файлы зашифрованы, если хочешь все вернуть, отправь 1 зашифрованный файл на эту почтуiizomer@aol.com ..."
      Все файлы зашифрованы и переименованы в "email-iizomer@aol.com.ver-CL 1.2.0.0.id-OOPQRSSSTUVVWXXXYZAABBCCDEFFGGHHIJKK-02.11.2015 14@07@511428102.randomname-PQQRCCDDEFFGHHHIJKKLMMMNOOPQQQ.SST"
      Что делать и как быть? Очень нужно восстановить документы.
      Прошу о помощи.
      CollectionLog-2015.11.05-16.32.zip
×
×
  • Создать...