Заражение файла, расширение .charm

[Monkisio]

Исходная ситуация: файл базы данных 1С располагался на сервере. В один прекрасный момент он был поражен шифровальщиком .charm. Прошу помочь в данной ситуации.

CollectionLog-2018.12.13-00.09.zip

[thyrex]

Ace Stream Media 3.1.28

SpyHunter 5

удалите через Установку программ.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Monkisio]

Логи

Scan.zip

Изменено 14 декабря, 2018 пользователем thyrex
убрал цитирование

[thyrex]

maybe (S-1-5-21-522798992-3380221190-177732275-1001 - Administrator - Enabled) => C:\Users\maybe

 

эта учетная запись с правами администратора Вам известна?

 

Не вижу в логах примеров шифрованных файлов и сообщений вымогателей для связи.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-522798992-3380221190-177732275-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FF HKU\S-1-5-21-522798992-3380221190-177732275-1001\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\maybe\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi
FF Extension: (Ace Script) - C:\Users\maybe\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi [2018-11-26]
C:\Users\maybe\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo
2018-12-13 21:41 - 2018-07-29 18:55 - 000000000 ____D C:\Users\maybe\AppData\Roaming\ACEStream
2018-12-13 05:23 - 2018-07-29 18:55 - 000000000 ____D C:\Users\maybe\AppData\Roaming\.ACEStream
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Monkisio]

Учетная запись мне известна, она - моя, администраторская.

 

 

maybe (S-1-5-21-522798992-3380221190-177732275-1001 - Administrator - Enabled) => C:\Users\maybe

 

эта учетная запись с правами администратора Вам известна?

 

Не вижу в логах примеров шифрованных файлов и сообщений вымогателей для связи.

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-522798992-3380221190-177732275-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FF HKU\S-1-5-21-522798992-3380221190-177732275-1001\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\maybe\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi
FF Extension: (Ace Script) - C:\Users\maybe\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi [2018-11-26]
C:\Users\maybe\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo
2018-12-13 21:41 - 2018-07-29 18:55 - 000000000 ____D C:\Users\maybe\AppData\Roaming\ACEStream
2018-12-13 05:23 - 2018-07-29 18:55 - 000000000 ____D C:\Users\maybe\AppData\Roaming\.ACEStream
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Fixlog.txt

[thyrex]

 

 

Не вижу в логах примеров шифрованных файлов и сообщений вымогателей для связи.

Это я для себя написал? Прикрепите в архиве к следующему сообщению.

[Monkisio]

Очевидно, что для меня. Но далее был описан некий алгоритм действий. Дублирую его результат ниже. 

 

Не вижу в логах примеров шифрованных файлов и сообщений вымогателей для связи.

Это я для себя написал? Прикрепите в архиве к следующему сообщению.

 

 

Fixlog.zip

[thyrex]

У Вас определенно проблемы с чтением. Я просил прислать в архиве пример шифрованного файла и сообщение от вымогателей для связи

[Monkisio]

У Вас определённо проблемы с выражением мысли в текстовом сообщении (попахивает баном, не так ли?)
Поскольку файл - слишком большой, могу предоставить ссылку на него (https://dropmefiles.com/SXPOK).
Сообщения от вымогателей, к сожалению, выявлено не было.

 

У Вас определенно проблемы с чтением. Я просил прислать в архиве пример шифрованного файла и сообщение от вымогателей для связи

[thyrex]

У Вас определённо проблемы с выражением мысли в текстовом сообщении

Ой ли. Наоборот вижу, что не все понимают, что значит заархивировать файл.

 

С расшифровкой помочь не сможем.