Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте! Прошу о помощи!

У меня такая же проблема. Сам шифровальщик был на удаленной машине, но зашифровал файлы на моем компе в папке с открытым сетевым доступом.

В файле REDME.TXT просят связаться через blackdragon43@yahoo.com

 

Сообщение от модератора thyrex

Образцы файлов.zip

FRST.zip

Опубликовано

Сам шифровальщик убили на удаленной машине?

 

SpyHunter 5 удалите через Установку программ.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
Task: {24698CC2-17AF-4314-9E5E-892371EA7559} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [1987216 2017-11-23] (Paretologic Inc. -> ) <==== ATTENTION
Task: {C4031392-BD5D-4B63-914F-EA7AD4407E04} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [1987216 2017-11-23] (Paretologic Inc. -> ) <==== ATTENTION
Task: C:\WINDOWS\Tasks\ParetoLogic Registration3.job => rundll32.exe  C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
Task: C:\WINDOWS\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
2019-05-03 11:34 - 2019-05-03 11:34 - 000000000 ____D C:\Program Files (x86)\ParetoLogic
2019-05-03 11:33 - 2019-05-03 11:33 - 000069432 _____ (EnigmaSoft Limited) C:\WINDOWS\system32\Drivers\EnigmaFileMonDriver.sys
2019-05-03 11:33 - 2019-05-03 11:33 - 000000000 ____D C:\Users\Все пользователи\EnigmaSoft Limited
2019-05-03 11:33 - 2019-05-03 11:33 - 000000000 ____D C:\sh5ldr
2019-05-03 11:33 - 2019-05-03 11:33 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EnigmaSoft
2019-05-03 11:33 - 2019-05-03 11:33 - 000000000 ____D C:\ProgramData\EnigmaSoft Limited
2019-05-03 11:32 - 2019-05-03 11:32 - 000000000 ____D C:\Program Files\EnigmaSoft
2019-05-03 11:24 - 2019-05-03 11:24 - 007020848 _____ (EnigmaSoft Limited) C:\Users\novopashin_ea.LIC-YAMAL\Downloads\SpyHunter-Installer.exe
2019-05-03 02:14 - 2019-05-03 02:14 - 000000071 _____ C:\Users\README.txt
2019-05-03 02:14 - 2019-05-03 02:14 - 000000071 _____ C:\Users\Public\README.txt
2019-05-03 02:14 - 2019-05-03 02:14 - 000000071 _____ C:\Users\Public\Downloads\README.txt
2019-05-03 02:14 - 2019-05-03 02:14 - 000000071 _____ C:\Users\Public\Documents\README.txt
2019-05-03 02:14 - 2019-05-03 02:14 - 000000071 _____ C:\Users\Public\Desktop\README.txt
2019-05-03 02:14 - 2019-05-03 02:14 - 000000071 _____ C:\Users\novopashin_ea.LIC-YAMAL\README.txt
2019-05-03 02:14 - 2019-05-03 02:14 - 000000071 _____ C:\Users\novopashin_ea.LIC-YAMAL\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-03 02:13 - 2019-05-03 02:13 - 000000071 _____ C:\Users\novopashin_ea.LIC-YAMAL\Downloads\README.txt
2019-05-03 02:13 - 2019-05-03 02:13 - 000000071 _____ C:\Users\novopashin_ea.LIC-YAMAL\Documents\README.txt
2019-05-03 02:13 - 2019-05-03 02:13 - 000000071 _____ C:\Users\novopashin_ea.LIC-YAMAL\Desktop\README.txt
2019-05-03 02:12 - 2019-05-03 02:12 - 000000071 _____ C:\Users\novopashin_ea.LIC-YAMAL\AppData\Roaming\README.txt
2019-05-03 02:12 - 2019-05-03 02:12 - 000000071 _____ C:\Users\novopashin_ea.LIC-YAMAL\AppData\README.txt
2019-05-03 02:07 - 2019-05-03 02:07 - 000000071 _____ C:\Users\novopashin_ea.LIC-YAMAL\AppData\LocalLow\README.txt
2019-05-03 01:57 - 2019-05-03 01:57 - 000000071 _____ C:\Users\novopashin_ea\README.txt
2019-05-03 01:57 - 2019-05-03 01:57 - 000000071 _____ C:\Users\novopashin_ea\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-03 01:57 - 2019-05-03 01:57 - 000000071 _____ C:\Users\novopashin_ea.LIC-YAMAL\AppData\Local\README.txt
2019-05-03 01:56 - 2019-05-03 01:56 - 000000071 _____ C:\Users\novopashin_ea\Downloads\README.txt
2019-05-03 01:56 - 2019-05-03 01:56 - 000000071 _____ C:\Users\novopashin_ea\Documents\README.txt
2019-05-03 01:56 - 2019-05-03 01:56 - 000000071 _____ C:\Users\novopashin_ea\Desktop\README.txt
2019-05-03 01:56 - 2019-05-03 01:56 - 000000071 _____ C:\Users\novopashin_ea\AppData\Roaming\README.txt
2019-05-03 01:56 - 2019-05-03 01:56 - 000000071 _____ C:\Users\novopashin_ea\AppData\README.txt
2019-05-03 01:56 - 2019-05-03 01:56 - 000000071 _____ C:\Users\novopashin_ea\AppData\LocalLow\README.txt
2019-05-03 01:55 - 2019-05-03 01:55 - 000000071 _____ C:\Users\novopashin_ea\AppData\Local\README.txt
2019-05-03 01:55 - 2019-05-03 01:55 - 000000071 _____ C:\Users\Default\README.txt
2019-05-03 01:55 - 2019-05-03 01:55 - 000000071 _____ C:\Users\Default\Downloads\README.txt
2019-05-03 01:55 - 2019-05-03 01:55 - 000000071 _____ C:\Users\Default\Documents\README.txt
2019-05-03 01:55 - 2019-05-03 01:55 - 000000071 _____ C:\Users\Default\Desktop\README.txt
2019-05-03 01:55 - 2019-05-03 01:55 - 000000071 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-05-03 01:55 - 2019-05-03 01:55 - 000000071 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-03 01:55 - 2019-05-03 01:55 - 000000071 _____ C:\Users\Default\AppData\README.txt
2019-05-03 01:55 - 2019-05-03 01:55 - 000000071 _____ C:\Users\Default\AppData\Local\README.txt
2019-05-03 01:55 - 2019-05-03 01:55 - 000000071 _____ C:\Users\Default User\Downloads\README.txt
2019-05-03 01:55 - 2019-05-03 01:55 - 000000071 _____ C:\Users\Default User\Documents\README.txt
2019-05-03 01:55 - 2019-05-03 01:55 - 000000071 _____ C:\Users\Default User\Desktop\README.txt
2019-05-03 01:55 - 2019-05-03 01:55 - 000000071 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-05-03 01:55 - 2019-05-03 01:55 - 000000071 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-03 01:55 - 2019-05-03 01:55 - 000000071 _____ C:\Users\Default User\AppData\README.txt
2019-05-03 01:55 - 2019-05-03 01:55 - 000000071 _____ C:\Users\Default User\AppData\Local\README.txt
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\ProgramData\TEMP:76650B61 [103]
AlternateDataStreams: C:\ProgramData\TEMP:F6C0CA66 [114]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:76650B61 [103]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:F6C0CA66 [114]
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Опубликовано

Да, на удаленной машине шифровальщик убили и восстановили данные из бэкапа.

 

SpyHunter удалил.

 

Вроде все сделал по инструкции.

Прикрепляю файл.

Fixlog.txt

Опубликовано

Все эти файлы прекрасно расшифровываются тем ключом, который я Вам высылал.

Опубликовано

А что тогда я делаю не так?


Все хорошо. Действительно дешифрируются. Это уже проблемы с компом, что он не может сохранять файлы в некоторых папках.

Опубликовано

Окончательный результат расшифровки не забудьте сообщить.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • rubin51
      Автор rubin51
      Здравствуйте! Зашифровались файлы. После открытия письма зашифровались файлы на компьютере.
      Теперь невозможно открыть файлы.
      Все зашифрованные файлы теперь называются email-moshiax@aol.com.ver-CL 1.0.0.0.id-JMPSWYCEHKNQTWZCFILNRTWZCFILNRTWACFI-08.10.2015 8@57@528941935.randomname-RXCGKMPTVYBEHLNQUWZCFHLNQTWZCF.IMP.cbf
      Просим помощи в расшифровании наших файлов.
    • Galaa
      Автор Galaa
      Добрый день, сегодня по эл.почте отделом закупок было получено письмо с вложением договор.rar.
      Пользователь распаковал архив, попытался открыть файл... В результате все файлы на ПК зашифрованы
      (имеют вид: email-Igor_svetlov2@ com.ver-CL1.0.0.0id................ .cbf).
      Следуя инструкции, размещенной на форуме, выкладываю логи, полученные на данном ПК.
      Компьютер был на момент проверки отключен от сети и интернет...
       
      CollectionLog-2015.10.09-11.22.zip
    • Riv
      Автор Riv
      Здравствуйте.
      Коллега открыла письмо,которое пришло на почту.
       
      Сейчас на весь экран надпись :
      "твои файлы зашифрованы,если хочешь все вернуть отправь 1 зашифрованный файл на эту почту :Seven_Legion2@aol.com
       Внимание!!! у вас есть 1 неделя что-бы написать на почту по происшествии этого срока расшифровка станет не возможна!!! "
       
      Зашифровалось все вчера утром расширением .CBF
       
      Просканировали все Dr.Web Curelt  - нашел один троян "Trojan.Packed.24524" Удалили его.
       
      Прикрепили файл протоколов.
       
      Помогите пожалуйста.
      CollectionLog-2015.10.09-09.11.zip
    • Solger2005
      Автор Solger2005
      8.10.2015 сотрудник получил сообщение с ссылкой на скачивание файла - скачал распаковал и запустил файл с расширением cad. После этого на его рабочем столе и частично на файловом сервере кот был подключен как сетевая папка были зашифрованы рабочие файлы.
      CollectionLog-2015.10.09-09.15.zip
    • kiddr
      Автор kiddr
      Здравствуйте! Снова здорово, получил по почте письмо "Карточка предприятия", с виду ничего подозрительного указан один адрес, текст письма грамотно составлен. После скачки был запущен шифровальщик. Есть один плюс, зашифровалась только половина файлов, так как во время отрубил электричество. Шифрование шло по алфавиту и началось с форматов .doc и .xlsm. Ридми с текстом угрозой и предложением создаться не успел. Очень надеюсь на Вашу помощь. Прикрепляю Логи, отчет антивируса.
      Инструкция 1 (AutoLogger).rar
      Инструкция 2 (Farbar Recovery Scan Tool).rar
×
×
  • Создать...