поймал шифровальщика stopencrypt@qq.com .adobe

[vladimir.vvv]

Здравствуйте.

Поймал шифровальщика stopencrypt@qq.com .adobe

требуется помощь в расшифровке файлов.

CollectionLog-2018.11.19-16.25.zip

[mike 1]

Уже поняли хоть как он к Вам попал?

 

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[vladimir.vvv]

 

Уже поняли хоть как он к Вам попал?

 

 

Полагаю, что не без помощи супер-уверенных пользователей ПК, типа моей мамы 

Файлы прикрепил. 

Addition.txt

FRST.txt

[mike 1]

Полагаю, что не без помощи супер-уверенных пользователей ПК, типа моей мамы

На самом деле нет. По большому счету виноват Администратор, который даже не видит, что у него творится на сервере. 

 

Mouse Lock_v22.exe

Это видимо чтобы пользователь не мешал шифрованию файлов. 

 

g (S-1-5-21-3651686796-3906943450-809360462-1002 - Administrator - Disabled) => C:\Users\g

t (S-1-5-21-3651686796-3906943450-809360462-1001 - Administrator - Disabled) => C:\Users\t

Это были так понимаю первые звоночки, но Администратор не принял мер. 

 

FirewallRules: [{9C3FD938-6A04-4738-ACC3-FD47FB345EB0}] => (Allow) LPort=3389

О чем тут можно говорить, если порт открыт, а антивирус не установлен. Вот кто как думаете в этом виноват?

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2018-11-19] ()
HKLM\...\Run: [C:\Users\admin\AppData\Roaming\Info.hta] => C:\Users\admin\AppData\Roaming\Info.hta [13919 2018-11-19] ()
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-11-19] ()
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe.lnk.id-F0D319C4.[stopencrypt@qq.com].adobe [2018-11-17]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-11-19] ()
2018-11-17 10:39 - 2018-11-19 13:27 - 000013919 _____ C:\Windows\system32\Info.hta
2018-11-17 10:39 - 2018-11-19 13:27 - 000013919 _____ C:\Users\admin\AppData\Roaming\Info.hta
2018-11-19 13:26 - 2018-11-19 13:26 - 001425160 _____ C:\Users\admin\Desktop\Mouse Lock_v22.exe.id-F0D319C4.[stopencrypt@qq.com].adobe
2018-11-19 13:26 - 2018-11-19 13:26 - 000037114 ____H C:\Users\admin\AppData\Roaming\svchost.exe.id-F0D319C4.[stopencrypt@qq.com].adobe
2018-10-27 23:33 - 2018-11-19 13:26 - 004692224 ____H C:\Users\admin\AppData\Roaming\update.exe.id-F0D319C4.[stopencrypt@qq.com].adobe

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

 

 

[vladimir.vvv]

Антивирус сейчас куплю, установлю. Прежде хочу переустановить систему, но для этого необходимо сначала спасти несколько файлов БД с ПК.

Спасибо за рекомендации и оказываемую помощь. 

fixlog.txt прикрепил. Fixlog.txt

[vladimir.vvv]

Антивирус приобрел. Жду Ваших дальнейших указаний, т.к. хочу переустановить систему на WINDOWS 10 (имеется ключ) и поставить антивирус.

 

Благодарим за оплату заказа № ALLSOFT-14395637. 

Продукт: Kaspersky Total Security -, 1 учетная запись 3 устройства 1 год

[mike 1]

Прежде хочу переустановить систему

А смысл ее переустанавливать если в Вашу корпоративную локальную сеть уже влезли? Не факт, что завтра не будет зашифрована еще какая-нибудь рабочая станция в локальной сети. Злоумышленники могли при желании изучить структуру Вашей локальной сети. Это ведь не сложно сделать. Начинать нужно с превентивных мер, которые сводят к минимуму риски проникновения. Мер по установке одного лишь антивируса недостаточно.

 

Антивирус приобрел

 Это Вы наверное поспешили, ладно, раз есть лицензия, то создайте запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525 на расшифровку, но скорее всего не помогут в техподдержке. 

[vladimir.vvv]

Спасибо Вам за помощь! По советам бывалых знакомых нашел организацию, которая за символическую сумму (3 тыр) расшифрует все файлы (образцы только что продемонстрировали). Так что не буду тратить Ваше время. Еще раз очень благодарен за все данные Вами рекомендации! Антивирус лишним не будет))

[mike 1]

Если не секрет не из этого списка https://safezone.cc/threads/kompjuternyj-servis-po-rasshifrovke-fajlov.25232/?

[vladimir.vvv]

Нет, не из списка. Но возможно я его пополню)

[Anonymous86]

Добрый день!!! Хотелось бы узнать судьбу ваших файлов, ибо ситуация схожая ... *.ADOBE

[mike 1]

Добрый день!!! Хотелось бы узнать судьбу ваших файлов, ибо ситуация схожая ... *.ADOBE

Создайте свою тему. 

[vladimir.vvv]

В общем, мне расшифровали очень малую часть файлов. но все же что-то есть.

Буду писать запрос сюда  https://forum.kasper...showtopic=48525 , нужно продолжить расшифровку((