Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте! Ноут подхватил вирус и зашифровал все файлы с припиской seto. Вирус удалил, а теперь как расшифровать файлы?

Addition.txt

FRST.txt

ПРИМЕР ЗАШИФРОВАННОГО ФАйЛА.jpg.rar

Изменено пользователем Паша Карамышев

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скорее всего Stop Ransomware и расшифровки нет.

 

Только чистка мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-2587830584-3792609489-2809434248-1001\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-2587830584-3792609489-2809434248-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-09032019225641265\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {AA185F6F-20B3-42A0-B370-5635DF2D600D} - \Service Update x64 -> No File <==== ATTENTION
Task: {ADDEB302-40C0-4209-BDF6-C271E95AF1C5} - \Service Updater x64 -> No File <==== ATTENTION
OPR Extension: (Adblocker for Youtube™) - C:\Users\msi\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihdokdacfahbmgeiopilkakbaakcgfma [2018-08-26]
2019-09-03 22:36 - 2019-09-03 22:56 - 000000000 ____D C:\Users\msi\AppData\Roaming\zuayisngjqe
2019-09-03 22:36 - 2019-09-03 22:56 - 000000000 ____D C:\Users\msi\AppData\Roaming\ohy5j5lfjq5
2019-09-03 22:31 - 2019-09-03 22:54 - 000000000 ____D C:\Users\msi\AppData\Roaming\v1fssm5gmoe
2019-09-03 22:31 - 2019-09-03 22:53 - 000000000 ____D C:\Users\msi\AppData\Roaming\dgnrigesqed
2019-09-03 22:31 - 2019-09-03 22:53 - 000000000 ____D C:\Program Files\BROQYAP8NX
2019-09-03 22:06 - 2019-09-03 22:29 - 000000004 _____ C:\Users\Все пользователи\lock.dat
2019-09-03 22:06 - 2019-09-03 22:29 - 000000004 _____ C:\ProgramData\lock.dat
2019-09-03 22:06 - 2019-09-03 22:07 - 000000342 _____ C:\Users\Все пользователи\ts.dat.seto
2019-09-03 22:06 - 2019-09-03 22:07 - 000000342 _____ C:\ProgramData\ts.dat.seto
2019-09-03 22:06 - 2019-09-03 22:06 - 000000008 _____ C:\Users\Все пользователи\ts.dat
2019-09-03 22:06 - 2019-09-03 22:06 - 000000008 _____ C:\ProgramData\ts.dat
2019-09-03 22:06 - 2019-09-03 22:06 - 000000004 _____ C:\Users\Все пользователи\irw.atsd
2019-09-03 22:06 - 2019-09-03 22:06 - 000000004 _____ C:\ProgramData\irw.atsd
2019-09-03 21:57 - 2019-09-03 22:31 - 000000000 ____D C:\Users\msi\AppData\Roaming\jtgylbtojn4
2019-09-03 21:45 - 2019-09-03 22:31 - 000000000 ____D C:\Users\msi\AppData\Roaming\uybzzpufdzi
2019-09-03 21:38 - 2019-09-03 21:38 - 000000000 ____D C:\Users\Все пользователи\QBtwoQoDE3OP
2019-09-03 21:37 - 2019-09-03 22:31 - 000000000 ____D C:\Users\msi\AppData\Roaming\ekz51sxntex
2019-09-03 21:37 - 2019-09-03 21:37 - 000000000 ____D C:\Users\msi\AppData\Roaming\qfvlhcumkgkr
2019-09-03 21:38 - 2019-09-03 21:38 - 000000000 ____D C:\Users\Все пользователи\Lamia
2019-09-03 21:36 - 2019-09-03 22:55 - 000000000 ____D C:\Program Files (x86)\Birtof
2018-04-12 02:34 - 2018-04-12 02:34 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\uMAOe.exe
2018-04-12 02:34 - 2018-04-12 02:34 - 000178688 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\mDRiiaZZCiu.exe
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сообщение от модератора kmscom

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

  • Похожий контент

    • От drumus
      Добрый день. Требуется помощь в расшифровке информации. Ночью произошло полное шифрование системы. Зашифрованы как системные файлы так и различного рода документация и базы 1с
      dh_exec.zip crypt.zip Addition.txt FRST.txt
    • От Андрей Дорожкин
      Здравствуйте! 
      Проблема заключается в загрузке ЦП в простое, происходит это без запуска каких-либо программ или приложений. Загрузка процессора i7 8750H на 40-70 %, что соответствует запуску требовательной игры, отследил через MSI Afterburner. При отключении интернета, при запуске диспетчера задач либо при запуске аналогичного process explorer, загрузка проца восстанавливается до нормальных значений около 5-10 %. При отключении диспетчера или process explorer, процессор вновь нагружается.
      Произошла эта проблема скорее всего после установки какой-то программы, не могу сказать какой именно, потому что не сразу обнаружил данную проблему.
      Не знаю поможет или нет, но при запуске process explorer обнаружил несколько недавно закрытых процессов backgroundTaskHost.exe:17732 и WmiPrvSE.exe:18036, пути отсутствуют, подписей скорее всего тоже нет, может вирус маскируется под эти службы, хотя может быть они стандартные.
      Логи прикрепляю.
      CollectionLog-2019.03.29-19.58.zip
    • От triadax
      Вторая тема по нашему шифровальщику. Пришлось экстренно вводить сервер в эксплуатацию, поэтому предоставляю данные с пользовательской машины. 
      Касперский деактивирован, файлы зашифрованы.
       
       
      FRST.txt Addition.txt CollectionLog-2020.06.18-14.41.zip
    • От shura2595
      Здравствуйте!
      Сервер 1с словил вирус-шифровальщик. Остальные компьютеры в локальной сети были проверены, данный вирус туда не попал.
      На рабочем столе было 5 окон с одним из стандартных сообщений о шифровании данных и связи по эл. почте для из расшифровке.
      Во вложении 1. пример зашифрованного файла, 2. архив с предполагаемым телом вируса (winhost.exe - расширение изменено на .virus). 3. архив с логом системы.
      Помогите расшифровать данные, если это возможно
      Winhost.virus.rar Поддержка.txt.id-C25CA468.[r3ad4@aol.com].r3f5s CollectionLog-2020.06.11-16.23.zip
    • От OxoTHuk
      Добрый день!
        тело шифровальщика в файле body.zip, расширение изменено на .virus пароль от архива 12345 также приложены логи скрипта AVZ и FRST64  
      На сервер 2008 r2 поймал шифровальщика [r3ad4@aol.com].r3f5s
       
      Утром обнаружил, что сервер не пускает по RDP, жалуется на логин/пароль всех уз. Выключил сервер. 
      Позже, попав на сервер (способом с загрузкой с установочной флэшки/восстановление/командная строка/подмена utilman на cmd в system32), обнаружил 5 окон на рабочем столе с информацией о том, что файлы зашифрованы.
      Поубирал подзрительные процессы winhost.exe из автозагрузки, перезагрузил систему.
       
      файлы зашифрованы,  
      в корне дисков файлы с информацией:
       
      all your data has been locked us
      You want to return?
      write email r3ad4@aol.com or r3ad4@cock.li
       
      рядом с winhost.exe во всех каталогах его нахождения присутствовал файл Info.hta, в котором:
        YOUR FILES ARE ENCRYPTED Don't worry,you can return all your files!</span></div> If you want to restore them, follow this link: r3ad4@aol.com YOUR ID 6E3F0584   If you have not been answered via the link within 12 hours, write to us by e-mail: r3ad4@cock.li Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.  
       
      CollectionLog-2020.06.10-17.59.zip body.zip FRST.txt Addition.txt
×
×
  • Создать...