Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день , помогите восстановить данные после шифровщика 

 

Антивирус ничего не нашел 

файлы теперь переименованы в

 

email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-1Cv8.1CD.doubleoffset

 

Файлы FRST.txt и Addition.txt прикреплены

 

 

Опубликовано

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 15-06-2019

Ran by Sergey (ATTENTION: The user is not administrator)

Переделайте от имени администратора.

Опубликовано

Scan result of Farbar Recovery Scan Tool (FRST) (x64)

Эти переделайте, пожалуйста.
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicyUsers\S-1-5-32-545\User: Restriction <==== ATTENTION
    2019-06-14 23:18 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-14 23:18 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\Local\README.txt
    2019-06-14 23:14 - 2019-06-14 23:17 - 000001275 _____ C:\Users\Все пользователи\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:14 - 2019-06-14 23:17 - 000001275 _____ C:\ProgramData\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:14 - 2019-06-14 23:17 - 000000078 _____ C:\Users\Все пользователи\README.txt
    2019-06-14 23:14 - 2019-06-14 23:17 - 000000078 _____ C:\ProgramData\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Public\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Public\Downloads\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Public\Documents\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\Downloads\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\Documents\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\Desktop\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\AppData\Roaming\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\AppData\LocalLow\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\AppData\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Public\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Public\Downloads\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Public\Documents\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\Downloads\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\Documents\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\Desktop\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\Roaming\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\LocalLow\README.txt
    2019-06-14 23:10 - 2019-06-14 23:17 - 000001275 _____ C:\Users\Lev\AppData\Local\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Несколько небольших зашифрованных офисных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

Опубликовано

Смените пароль на RDP и некоторое время подождите.

Опубликовано

Смените пароль на RDP и некоторое время подождите.

 

Спасибо, ждем.

Можете уточнить как возможно что данные менялись под учеткой, который в целом нет в списке ?

Опубликовано (изменено)

Вы об этой?

C:\Users\Lev

Да , эта запись была изменена более года назад и под таким наименованием просто отсутствовала , а в логах фигурирует

Изменено пользователем SergeyLSA
Опубликовано

Причем, в логах разных утилит. Поэтому возможно она все-таки есть, смотрите внимательно.

 

К сожалению, расшифровки для этой версии нет.

 

Проверьте уязвимые места системы:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
  • 2 недели спустя...
Опубликовано

Прикрепите пару файлов: зашифрованный и его оригинал до шифрования.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Вован Свидерский
      Автор Вован Свидерский
      Вирус зашифровал фотографии и они теперь стали называться email-gerkaman@aol.com.ver-CL 1.0.0.0.id-IJJKLLMNOPPPQRSTTTUVWXYYYZABBCCDEFFG-08.09.2015 10@50@484955357.randomname-KKLMNOOPQRSSTTUVWXXXYZABBBCDEF.GGH
       из-за чего произошло, незнаю. 
    • Alex8866
      Автор Alex8866
      Помогите, пожалуйста, расшифровать файлы. зашифрованы многие файлы ворда, экселя, картинки и фото.
      В названии файлов вначале - email-moshiax@aol.com.ver-CL 1.0.0.0.id
      Расширение у них .cbf
      CollectionLog-2015.10.13-18.24.zip
    • rubin51
      Автор rubin51
      Здравствуйте! Зашифровались файлы. После открытия письма зашифровались файлы на компьютере.
      Теперь невозможно открыть файлы.
      Все зашифрованные файлы теперь называются email-moshiax@aol.com.ver-CL 1.0.0.0.id-JMPSWYCEHKNQTWZCFILNRTWZCFILNRTWACFI-08.10.2015 8@57@528941935.randomname-RXCGKMPTVYBEHLNQUWZCFHLNQTWZCF.IMP.cbf
      Просим помощи в расшифровании наших файлов.
    • Galaa
      Автор Galaa
      Добрый день, сегодня по эл.почте отделом закупок было получено письмо с вложением договор.rar.
      Пользователь распаковал архив, попытался открыть файл... В результате все файлы на ПК зашифрованы
      (имеют вид: email-Igor_svetlov2@ com.ver-CL1.0.0.0id................ .cbf).
      Следуя инструкции, размещенной на форуме, выкладываю логи, полученные на данном ПК.
      Компьютер был на момент проверки отключен от сети и интернет...
       
      CollectionLog-2015.10.09-11.22.zip
    • Riv
      Автор Riv
      Здравствуйте.
      Коллега открыла письмо,которое пришло на почту.
       
      Сейчас на весь экран надпись :
      "твои файлы зашифрованы,если хочешь все вернуть отправь 1 зашифрованный файл на эту почту :Seven_Legion2@aol.com
       Внимание!!! у вас есть 1 неделя что-бы написать на почту по происшествии этого срока расшифровка станет не возможна!!! "
       
      Зашифровалось все вчера утром расширением .CBF
       
      Просканировали все Dr.Web Curelt  - нашел один троян "Trojan.Packed.24524" Удалили его.
       
      Прикрепили файл протоколов.
       
      Помогите пожалуйста.
      CollectionLog-2015.10.09-09.11.zip
×
×
  • Создать...