Перейти к содержанию

[РЕШЕНО] Файлы зашифрованы, что-то можно сделать?

Александр23
 Поделиться

Рекомендуемые сообщения

Александр23

Александр23

Опубликовано
Опубликовано

Здравствуйте,

Сервер, домены, пользовательские машины.

Зашифрованы файлы на сервере и у пользователя, оба постоянно включены.

Вирус отработал около 40 минут примерно в час ночи.

После перезагрузки пользователя его машина не заработала, клаиватура мигает и все.

Сервер сейчас проверяем. Поставили диск пользователя на другой компьютер, на дисках пользователя drweb.ru cureit вирусов не нашел.

Лог дисков пользователя в приложении.

Что-то можно сделать?

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Здравствуйте.

 

Начните с  https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] (новую тему создавать не нужно).

Изменено пользователем mike 1
mike 1

mike 1

Опубликовано
Опубликовано

Деинсталлируйте потенциально нежелательное ПО:

SpyHunter 5
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 
mike 1

mike 1

Опубликовано
Опубликовано

Почитайте об этом https://safezone.cc/threads/pochemu-ne-sleduet-ispolzovat-programmu-spyhunter.28842/ SpyHunter. По сути это пустышка. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
CMD: wmic product where name="SpyHunter 5" call uninstall /nointeractive
Task: {BCAEC3A9-156D-4896-B2F5-8932FAA4E7DC} - System32\Tasks\ParetoLogic Registration3 => C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll" RunUns
Task: C:\Windows\Tasks\ParetoLogic Registration3.job => rundll32.exe  C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
 
 
Сделайте новые логи frst.txt, addition.txt
mike 1

mike 1

Опубликовано
Опубликовано

Spy hunter деинсталлируйте.

 

Какое расширение добавилось к зашифрованным файлам?

Александр23

Александр23

Опубликовано
  • Автор
Опубликовано

спай хантер удалим, да
зашифрованные никак не поменялись

post-54358-0-42996700-1559727548_thumb.jpg

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Пришлите несколько небольших файлов в архиве. Если есть ещё записку с требованиями злоумышленников

Изменено пользователем mike 1
mike 1

mike 1

Опубликовано
Опубликовано

CryptConsole 3. Расшифровки нет, увы.

Александр23

Александр23

Опубликовано
  • Автор
Опубликовано (изменено)

mike, послал письмо авторам, запросили деньги и файл для примера, отослал файл, прислали ответ в архиве rar, архиватор WinRar пишет - неверный архив. Есть куда сбросить вам для проверки что там? может пригодится..

зы заразиться, просто открывая архив для просмотра что там ведь нельзя? 

Изменено пользователем Александр23
mike 1

mike 1

Опубликовано
Опубликовано

 

 

Есть куда сбросить вам для проверки что там?

Пришлите мне на почту, посмотрю. Почта есть в профиле.

 

 

 

зы заразиться, просто открывая архив для просмотра что там ведь нельзя? 

Можно, если у вас версия WinRar ниже версии 5.70. 

Александр23

Александр23

Опубликовано
  • Автор
Опубликовано

Отправил, в теме написано "Пришлите мне на почту, посмотрю. Почта есть в профиле."


гхм.. яндекс не отправил, написал похоже на спам.. сейчас еще раз попробую


Не проходит, пишет что спам. Есть другой адрес?

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vitek_mos
      Шифровальщик
      Автор vitek_mos
      Добрый день. Зашифровали комп бухи.
      Файлы без расширений, набор символов.
      Kaspersky Virus Removal Tool ничего не нашел. RDP был включен.
       
      CollectionLog-2019.07.02-11.53.zip
    • timunya
      [РЕШЕНО] Зашифрованы файлы
      Автор timunya
      Добрый день в  ночь на 24.06.19 был подобран пароль на rdp и зашифрована большая часть данных на сервере. Просьба помочь с расшифровкой или хотя бы понять возможна она в принципе или нет?  Логи прилагаю, если надо приложу образец зашифрованного файла и readme
    • garik_rus
      Зашифрованы файлы, расширений нет
      Автор garik_rus
      Добрый день.
      Сегодня столкнулись с проблемой шифровальщиков.
      Файлы на сервере оказались зашифрованы.
      Имена файлов без расширений, вид имен:

      5354415254474D532E636D64
      46697265666F782053657475702036332E302E332E657865
       
      и т.п.
      Везде лежит файл README.txt с таким содержимым:
       
      Your files are encrypted! YOUR PERSONAL ID CTuHAhqoQGTcxNHDwD98EjqdDvbALxJh1Fsicd3g ------------------------------------------- Send to (YOUR PERSONAL ID) this email: fortlalatyne@tutanota.com ------------------------------------------- Kaspersky Virus Removal Tool нашел один файл как троян в директории C:\Confus\<имя_файла_такого_же_вида_как_и_зашифрованные> и удалил.
      Определил его как: HEUR:Trojan-Ransom.MSIL.Crypmod.gen
      В гугле как синоним нашел еще такое название Ransom.MSIL.GANDCRAB.AA
       
      CureIt! не нашел после этого никаких вирусов.
      Утилита BDRansomRecognitionTool выдала такую картинку:

      Логи во вложении.
      CollectionLog-2019.06.18-18.36.zip

      Есть шанс восстановить?
       
    • Иннф
      Шифровальщик. Файлы без расширения.
      Автор Иннф
      Доброго времени суток!
      Прошу помощи в расшифровке файлов. 
      Вчера файлы были зашифрованы. Предположительно по RDP.
      Система запускается. Зашифрована часть файлов, но важная. 
      Все файлы без расширения, состоящих из набора букв и цифр
      Есть "записка" с текстом: 
       
       Your files are encrypted! YOUR PERSONAL ID 7CVGgds2Z8N3kbrpHPHVs9YNPcU5oI1WT6km0kJI For getting instructions write to us email: leviakkerman@tuta.io  
    • igor083
      Trojan.Encoder.14704
      Автор igor083
      Добрый день. помогите с расшифровкой файлов
      CollectionLog-2019.06.03-14.12.zip
×
×
  • Создать...