Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день , помогите восстановить данные после шифровщика 

 

Антивирус ничего не нашел 

файлы теперь переименованы в

 

email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-1Cv8.1CD.doubleoffset

 

Файлы FRST.txt и Addition.txt прикреплены

 

 

Опубликовано

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 15-06-2019

Ran by Sergey (ATTENTION: The user is not administrator)

Переделайте от имени администратора.

Опубликовано

Scan result of Farbar Recovery Scan Tool (FRST) (x64)

Эти переделайте, пожалуйста.
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicyUsers\S-1-5-32-545\User: Restriction <==== ATTENTION
    2019-06-14 23:18 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-14 23:18 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\Local\README.txt
    2019-06-14 23:14 - 2019-06-14 23:17 - 000001275 _____ C:\Users\Все пользователи\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:14 - 2019-06-14 23:17 - 000001275 _____ C:\ProgramData\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:14 - 2019-06-14 23:17 - 000000078 _____ C:\Users\Все пользователи\README.txt
    2019-06-14 23:14 - 2019-06-14 23:17 - 000000078 _____ C:\ProgramData\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Public\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Public\Downloads\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Public\Documents\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\Downloads\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\Documents\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\Desktop\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\AppData\Roaming\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\AppData\LocalLow\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\AppData\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Public\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Public\Downloads\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Public\Documents\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\Downloads\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\Documents\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\Desktop\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\Roaming\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\LocalLow\README.txt
    2019-06-14 23:10 - 2019-06-14 23:17 - 000001275 _____ C:\Users\Lev\AppData\Local\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Несколько небольших зашифрованных офисных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

Опубликовано

Смените пароль на RDP и некоторое время подождите.

Опубликовано

Смените пароль на RDP и некоторое время подождите.

 

Спасибо, ждем.

Можете уточнить как возможно что данные менялись под учеткой, который в целом нет в списке ?

Опубликовано (изменено)

Вы об этой?

C:\Users\Lev

Да , эта запись была изменена более года назад и под таким наименованием просто отсутствовала , а в логах фигурирует

Изменено пользователем SergeyLSA
Опубликовано

Причем, в логах разных утилит. Поэтому возможно она все-таки есть, смотрите внимательно.

 

К сожалению, расшифровки для этой версии нет.

 

Проверьте уязвимые места системы:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
  • 2 недели спустя...
Опубликовано

Прикрепите пару файлов: зашифрованный и его оригинал до шифрования.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • rubin51
      Автор rubin51
      Здравствуйте! Зашифровались файлы. После открытия письма зашифровались файлы на компьютере.
      Теперь невозможно открыть файлы.
      Все зашифрованные файлы теперь называются email-moshiax@aol.com.ver-CL 1.0.0.0.id-JMPSWYCEHKNQTWZCFILNRTWZCFILNRTWACFI-08.10.2015 8@57@528941935.randomname-RXCGKMPTVYBEHLNQUWZCFHLNQTWZCF.IMP.cbf
      Просим помощи в расшифровании наших файлов.
    • Galaa
      Автор Galaa
      Добрый день, сегодня по эл.почте отделом закупок было получено письмо с вложением договор.rar.
      Пользователь распаковал архив, попытался открыть файл... В результате все файлы на ПК зашифрованы
      (имеют вид: email-Igor_svetlov2@ com.ver-CL1.0.0.0id................ .cbf).
      Следуя инструкции, размещенной на форуме, выкладываю логи, полученные на данном ПК.
      Компьютер был на момент проверки отключен от сети и интернет...
       
      CollectionLog-2015.10.09-11.22.zip
    • Riv
      Автор Riv
      Здравствуйте.
      Коллега открыла письмо,которое пришло на почту.
       
      Сейчас на весь экран надпись :
      "твои файлы зашифрованы,если хочешь все вернуть отправь 1 зашифрованный файл на эту почту :Seven_Legion2@aol.com
       Внимание!!! у вас есть 1 неделя что-бы написать на почту по происшествии этого срока расшифровка станет не возможна!!! "
       
      Зашифровалось все вчера утром расширением .CBF
       
      Просканировали все Dr.Web Curelt  - нашел один троян "Trojan.Packed.24524" Удалили его.
       
      Прикрепили файл протоколов.
       
      Помогите пожалуйста.
      CollectionLog-2015.10.09-09.11.zip
    • Solger2005
      Автор Solger2005
      8.10.2015 сотрудник получил сообщение с ссылкой на скачивание файла - скачал распаковал и запустил файл с расширением cad. После этого на его рабочем столе и частично на файловом сервере кот был подключен как сетевая папка были зашифрованы рабочие файлы.
      CollectionLog-2015.10.09-09.15.zip
    • kiddr
      Автор kiddr
      Здравствуйте! Снова здорово, получил по почте письмо "Карточка предприятия", с виду ничего подозрительного указан один адрес, текст письма грамотно составлен. После скачки был запущен шифровальщик. Есть один плюс, зашифровалась только половина файлов, так как во время отрубил электричество. Шифрование шло по алфавиту и началось с форматов .doc и .xlsm. Ридми с текстом угрозой и предложением создаться не успел. Очень надеюсь на Вашу помощь. Прикрепляю Логи, отчет антивируса.
      Инструкция 1 (AutoLogger).rar
      Инструкция 2 (Farbar Recovery Scan Tool).rar
×
×
  • Создать...