Николай П 0 Опубликовано 20 марта, 2019 Share Опубликовано 20 марта, 2019 (изменено) Все файлы на всех разделах зашифрованы. Зашифрованные файлы имеют вид: <Имя файла>.[veracrypt@foxmail.com].adobe Помогите пожалуйста расшифровать. Спасибо. P.S. Вымогатели оставили сообщение: "All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail veracrypt@foxmail.com Write this ID in the title of your message <ID> In case of no answer in 24 hours write us to theese e-mails: veracrypt@foxmail.com You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. Free decryption as guarantee Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. https://localbitcoins.com/buy_bitcoins Also you can find other places to buy Bitcoins and beginners guide here: http://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam." CollectionLog-2019.03.20-18.09.zip Изменено 20 марта, 2019 пользователем Николай П Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 528 Опубликовано 20 марта, 2019 Share Опубликовано 20 марта, 2019 Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 20 марта, 2019 Share Опубликовано 20 марта, 2019 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin QuarantineFile('C:\Windows\System32\1Vera.exe',''); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1Vera.exe','x64'); ExecuteWizard('TSW',2,3,true); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. Сделайте новые логи Автологгером. Ссылка на сообщение Поделиться на другие сайты
Николай П 0 Опубликовано 20 марта, 2019 Автор Share Опубликовано 20 марта, 2019 Логи во вложении CollectionLog-2019.03.20-19.11.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 20 марта, 2019 Share Опубликовано 20 марта, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
Николай П 0 Опубликовано 20 марта, 2019 Автор Share Опубликовано 20 марта, 2019 Во вложении Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 20 марта, 2019 Share Опубликовано 20 марта, 2019 Поняли хоть как получили шифровальщика? ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: Startup: C:\Users\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-03-20] () [File not signed] CHR HKU\S-1-5-21-1052011401-4076326260-3593805014-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION virustotal: C:\Users\test\Desktop\lock.exe 2019-03-19 17:41 - 2017-08-13 19:32 - 001424896 _____ (Misc314) C:\Users\test\Desktop\lock.exe WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":: WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99] WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate] MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^1Vera.exe => C:\Windows\pss\1Vera.exe.CommonStartup MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta => C:\Windows\pss\Info.hta.CommonStartup MSCONFIG\startupreg: C: => MSCONFIG\startupreg: {9A861396-F372-4442-A46C-EE17A69460A2} => "G:\рабстол\KIS2012RU.exe" zip:C:\FRST\Quarantine Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Ссылка на сообщение Поделиться на другие сайты
Николай П 0 Опубликовано 21 марта, 2019 Автор Share Опубликовано 21 марта, 2019 Лог во вложении, архив с рабочего стола прикреплен по предоставленной ссылке. Да, понял как поймал вирус. Оставлю свою историю для других: 1. Надо было будить ПК через обращение по сетевой карте. Для этого в тестовых целях создал учетку и скачал на телефон Remote RDP Lite 4.3.12. Подключился через него к тестовой учетке. 2. По своей халатности учетку не удалил. 3. Через 2-3 дня вместо ПК получил почти безжизненную "железку" с полу-рабочей ОС. Хотя, до этого ПК был выставлен в сеть уже более 5 лет... В итоге, будем учится: 1. Настраивать фаервол на модеме 2. Поднимать vpn 3. Делать резервные копии НЕ на разные диски в пределах одного ПК, а на съемные носители 4. Следить за сложностью паролей и не качать всякий мусор для телефона Прошу дать дальнейшие рекомендации. Спасибо. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 21 марта, 2019 Share Опубликовано 21 марта, 2019 С расшифровкой помочь не сможем. Смените все пароли. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 17 мая, 2019 Share Опубликовано 17 мая, 2019 Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского". Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения