Перейти к содержанию

шифровальщик ivanmalahov@protonmail.com.Eivoh1na

Len087
 Поделиться

Рекомендуемые сообщения

Len087

Len087

Опубликовано
  • Автор
Опубликовано

сделал по инструкций 


Диспетчере задач был процесс xmrig.exe который загружал процессор. после нашел расположение файла и удалил его вместе с trojan.coinminer.R . Но он успел уже зашифровать файлы

CollectionLog-2019.08.10-16.24.zip

thyrex

thyrex

Опубликовано
Опубликовано

Логи Autologger сделаны устаревшей версией. Переделывайте.

thyrex

thyrex

Опубликовано
Опубликовано

SpyHunter 5 удалите через Установку программ.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

В логах порядок.

 

Там файлы забиты нулями и переименованы. Это или ошибка шифровальщика, или файлы у злодея

thyrex

thyrex

Опубликовано
Опубликовано

Вы вообще понимаете написанное?

Там файлы забиты нулями и переименованы

Как можно по-Вашему восстановить забитое одними нулями?
Len087

Len087

Опубликовано
  • Автор
Опубликовано (изменено)

возможно ли узнать как он попал или кто запустил и когда итд. я лично думаю через RDP был вход 10.08.19

Изменено пользователем Len087

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ashi76
      Зашифрованые файлы с разрешением .yo8Al9oo
      Автор ashi76
      Logs.rar
      RECOVERY.rar RECOVERY.rar
    • Alexius51
      Зашифровало все файлы на сетевом хранилище
      Автор Alexius51
      На сетевом хранилище шифронуло все файлы, хранилище - MyCloud, имеет открытый доступ из вне. Остались "типа" оригиналы файлов со своим именем, например - "резка Plenka exter 50x51 04-15 24.12.19.cdr" с весом 0Kb и появились дубли с именем - "резка Plenka exter 50x51 04-15 24.12.19.cdr.[yaroslav.tretyakov@protonmail.com].Kaish7za". Тип файла был - Corel, стал - Kaish7za.
      Подскажите можно ли вылечить? И как?
    • Emik
      Шифровальщик SCARAB, расширение файлов .b78vi7v6ri66b
      Автор Emik
      Добрый день!

      Шифровальщик SCARAB, зашифровал документы расширение файлов .b78vi7v6ri66b.
      Направляю Вам файлы для анализа.
       
      HOW TO RECOVER ENCRYPTED FILES.TXT
      CollectionLog-2019.12.06-12.39.zip
    • Azeures
      Файлы зашифрованы с расширением .[ooosferaplus@protonmail.com].nae2iNg6
      Автор Azeures
      Решил проверить архив фотографий на своём НАС-е (ZyXel 325) и оказалось что большинсво файлов зашифрованны с расширением [ooosferaplus@protonmail.com].nae2iNg6. При этом без разбора фото, видео, документы. Произошло это 26.10.2019, так как это дата изменения для большинсва файлов. Прошу помочь расшифровать так как там огромное количество семейных фото и видео.
      Благодарю.
      CollectionLog-2019.11.16-20.15.zip
      Примеры файлов.7z
    • Stone7
      шифровальщик файлов с расширением [egor.orehov@protonmail.com].haiN0shi
      Автор Stone7
      На сервере зашифрована часть данных. Файлы получили расширение [egor.orehov@protonmail.com].haiN0shi
      Сервер был выключен, загружен с WinPE. Проверка KVRT ничего не обнаружила.
      Есть мнение, что заражение прошло через доступ к сетевым дискам извне, с какой либо рабочей станции, т.к. зашифрованы данные только на сетевых дисках. 
      Сам сервер, скорее всего, не заражен. 
      Обратился в DrWeb, выслал им образцы зашифрованных файлов. Они сказали, что файлы пустые, все тупо заполнено нулями.
      Посмотрел в hex -   так и есть. 
      Связались с вымогателями, выслали несколько зараженных файлов, получили расшифрованные. 
       
      Теперь имеются образцы шифрованных и расшифрованных файлов. 
      Прикрепил их в архиве.
      В течении всего времени, с момента шифрования, сервер отключен от сети. Идет резервное копирование данных, в т.ч. и зашифрованных.
      Прошу помощи.
      Зашифрованные и расшифрованные файлы.rar
×
×
  • Создать...