Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

 

Цитата

Система загружена в режиме защиты от сбоев (SafeMode)

Почему? Из обычного режима не получается?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

+

Пару зашифрованных файлов вместе с запиской how_to_decrypt.hta упакуйте в архив и тоже прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте, прилагаю.

p.s. Странно, что стоял Kaspersky Endpoint Security с лицензией и он профукал этот момент. Либо пользователь нарочно отключил.

FRST ADDITION.7z how to decrypt.rar

Изменено пользователем nplvnkv
дополнение
Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    HKU\S-1-5-21-420557119-2146505805-3498686479-1769\...\MountPoints2: {94de564f-cd86-11e7-bfea-5c93a2c44ccc} - F:\Setup.exe
    HKU\S-1-5-21-420557119-2146505805-3498686479-1769\...\MountPoints2: {bc0014a6-f91d-11e9-a9be-5c93a2c44ccc} - F:\HiSuiteDownLoader.exe
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2020-05-25] () [File not signed]
    GroupPolicy: Restriction ? <==== ATTENTION
    CHR HKU\S-1-5-21-420557119-2146505805-3498686479-1769\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
    CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja]
    CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk]
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
    CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
    CHR HKLM-x32\...\Chrome\Extension: [gdljkkmghdkckhaogaemgbgdfophkfco]
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
    2020-05-25 21:08 - 2020-05-25 21:08 - 000006037 _____ C:\how_to_decrypt.hta
    2020-05-25 21:04 - 2020-05-25 21:04 - 000006037 _____ C:\Users\Эдельман\how_to_decrypt.hta
    2020-05-25 21:04 - 2020-05-25 21:04 - 000006037 _____ C:\Users\Эдельман\Downloads\how_to_decrypt.hta
    2020-05-25 21:04 - 2020-05-25 21:04 - 000006037 _____ C:\Users\Эдельман\Documents\how_to_decrypt.hta
    2020-05-25 21:04 - 2020-05-25 21:04 - 000006037 _____ C:\Users\Эдельман\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-05-25 20:57 - 2020-05-25 20:57 - 000006037 _____ C:\Users\Эдельман\AppData\Roaming\how_to_decrypt.hta
    2020-05-25 20:57 - 2020-05-25 20:57 - 000006037 _____ C:\Users\Эдельман\AppData\how_to_decrypt.hta
    2020-05-25 20:43 - 2020-05-25 20:43 - 000006037 _____ C:\Users\Эдельман\AppData\LocalLow\how_to_decrypt.hta
    2020-05-25 20:17 - 2020-05-25 20:17 - 000006037 _____ C:\Users\Эдельман\AppData\Local\how_to_decrypt.hta
    2020-05-25 20:12 - 2020-05-25 20:12 - 000006037 _____ C:\Users\Public\how_to_decrypt.hta
    2020-05-25 20:12 - 2020-05-25 20:12 - 000006037 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default User\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\aspnet\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\aspnet\Downloads\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\aspnet\Documents\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\aspnet\Desktop\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\aspnet\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\aspnet\AppData\Roaming\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\aspnet\AppData\LocalLow\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\aspnet\AppData\Local\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\aspnet\AppData\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Artem\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Artem\Downloads\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Artem\Documents\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Artem\Desktop\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Artem\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Artem\AppData\Roaming\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Artem\AppData\how_to_decrypt.hta
    2020-05-25 20:07 - 2020-05-25 20:07 - 000006037 _____ C:\Users\Artem\AppData\LocalLow\how_to_decrypt.hta
    2020-05-25 20:02 - 2020-05-25 20:02 - 000006037 _____ C:\Users\Artem\AppData\Local\how_to_decrypt.hta
    2020-05-25 19:50 - 2020-05-25 19:50 - 000006037 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
    2020-05-25 19:50 - 2020-05-25 19:50 - 000006037 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-05-25 19:49 - 2020-05-25 19:49 - 000006037 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-05-25 19:49 - 2020-05-25 19:49 - 000006037 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
    2020-05-25 19:49 - 2020-05-25 19:49 - 000006037 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-05-25 19:49 - 2020-05-25 19:49 - 000006037 _____ C:\Users\how_to_decrypt.hta
    2020-05-25 19:49 - 2020-05-25 19:49 - 000006037 _____ C:\ProgramData\how_to_decrypt.hta
    2020-05-25 19:49 - 2020-05-25 19:49 - 000006037 _____ C:\ProgramData\Documents\how_to_decrypt.hta
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

3 часа назад, nplvnkv сказал:

Либо пользователь нарочно отключил

Скорее это.

Ссылка на сообщение
Поделиться на другие сайты
34 минуты назад, Sandor сказал:

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    Start::
    CreateRestorePoint:
    
    HKU\S-1-5-21-420557119-2146505805-3498686479-1769\...\MountPoints2: {94de564f-cd86-11e7-bfea-5c93a2c44ccc} - F:\Setup.exe
    HKU\S-1-5-21-420557119-2146505805-3498686479-1769\...\MountPoints2: {bc0014a6-f91d-11e9-a9be-5c93a2c44ccc} - F:\HiSuiteDownLoader.exe
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2020-05-25] () [File not signed]
    GroupPolicy: Restriction ? <==== ATTENTION
    CHR HKU\S-1-5-21-420557119-2146505805-3498686479-1769\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
    CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja]
    CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk]
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
    CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
    CHR HKLM-x32\...\Chrome\Extension: [gdljkkmghdkckhaogaemgbgdfophkfco]
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
    2020-05-25 21:08 - 2020-05-25 21:08 - 000006037 _____ C:\how_to_decrypt.hta
    2020-05-25 21:04 - 2020-05-25 21:04 - 000006037 _____ C:\Users\Эдельман\how_to_decrypt.hta
    2020-05-25 21:04 - 2020-05-25 21:04 - 000006037 _____ C:\Users\Эдельман\Downloads\how_to_decrypt.hta
    2020-05-25 21:04 - 2020-05-25 21:04 - 000006037 _____ C:\Users\Эдельман\Documents\how_to_decrypt.hta
    2020-05-25 21:04 - 2020-05-25 21:04 - 000006037 _____ C:\Users\Эдельман\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-05-25 20:57 - 2020-05-25 20:57 - 000006037 _____ C:\Users\Эдельман\AppData\Roaming\how_to_decrypt.hta
    2020-05-25 20:57 - 2020-05-25 20:57 - 000006037 _____ C:\Users\Эдельман\AppData\how_to_decrypt.hta
    2020-05-25 20:43 - 2020-05-25 20:43 - 000006037 _____ C:\Users\Эдельман\AppData\LocalLow\how_to_decrypt.hta
    2020-05-25 20:17 - 2020-05-25 20:17 - 000006037 _____ C:\Users\Эдельман\AppData\Local\how_to_decrypt.hta
    2020-05-25 20:12 - 2020-05-25 20:12 - 000006037 _____ C:\Users\Public\how_to_decrypt.hta
    2020-05-25 20:12 - 2020-05-25 20:12 - 000006037 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default User\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\aspnet\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\aspnet\Downloads\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\aspnet\Documents\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\aspnet\Desktop\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\aspnet\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\aspnet\AppData\Roaming\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\aspnet\AppData\LocalLow\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\aspnet\AppData\Local\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\aspnet\AppData\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Artem\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Artem\Downloads\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Artem\Documents\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Artem\Desktop\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Artem\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Artem\AppData\Roaming\how_to_decrypt.hta
    2020-05-25 20:11 - 2020-05-25 20:11 - 000006037 _____ C:\Users\Artem\AppData\how_to_decrypt.hta
    2020-05-25 20:07 - 2020-05-25 20:07 - 000006037 _____ C:\Users\Artem\AppData\LocalLow\how_to_decrypt.hta
    2020-05-25 20:02 - 2020-05-25 20:02 - 000006037 _____ C:\Users\Artem\AppData\Local\how_to_decrypt.hta
    2020-05-25 19:50 - 2020-05-25 19:50 - 000006037 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
    2020-05-25 19:50 - 2020-05-25 19:50 - 000006037 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-05-25 19:49 - 2020-05-25 19:49 - 000006037 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-05-25 19:49 - 2020-05-25 19:49 - 000006037 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
    2020-05-25 19:49 - 2020-05-25 19:49 - 000006037 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-05-25 19:49 - 2020-05-25 19:49 - 000006037 _____ C:\Users\how_to_decrypt.hta
    2020-05-25 19:49 - 2020-05-25 19:49 - 000006037 _____ C:\ProgramData\how_to_decrypt.hta
    2020-05-25 19:49 - 2020-05-25 19:49 - 000006037 _____ C:\ProgramData\Documents\how_to_decrypt.hta
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Скорее это.

Спасибо Вам большое, за то, что Вы уже сделали для нас.
Мне поступила задача СРОЧНО восстановить комп.
На данный момент я уже установил новую винду и накатил инфу с бекапов. (Помощь в дешифровке не нужна)
Что Вы вообще из этих логов можете мне сказать? Реально ли узнать, откуда эта зараза пришла? И кто был её исполнителем?

Ссылка на сообщение
Поделиться на другие сайты

Время начала заражения - 2020-05-25 19:49

Как правило, вымогатель попадает в систему после взлома RDP, делает свою работу и само удаляется.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
  • regist закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От thebat
      Скорее всего через RDP словили шифровальщик. Системные файлы не зашифрованы. EXE тоже не тронуто.
       
      Desktop.rar FRST.txt Addition.txt
    • От DmitryT
      000.ZIP
      Попал через rdp открытый.
    • От alxbit
      Здравствуйте,

      значит, что делать в такой ситуации,
      как я понял, у пользователя учетные данные были  скомпрометированы,
      потом,
      подключились под ограниченными правами данного пользователя с правами пользователь,
      загрузили файлы,
      и произвели блокировку его рабочего стола.

      Теперь файлы, к которым имел пользователь доступ,
      они зашифровались, я так понял по информации файлов,
      это: вирус шифровальщик "CryLock" или "CryLock Ransomware"со следующими эл.адресом flydragon@mailfence.com,
      который не все файлы смог шифрануть, но часть шифрованную и оставил такую надпись "[flydragon@mailfence.com][sel4ru].[3E2730A7-21C21601]",
      и некоторые файлы имеют  с расширение .cfl

      Я как авторизированный пользователь корпоративного антивируса,
      могу получить рекомендации по данному вирусу?

      так как есть предложенные варианты, другого антивируса решения, но на сколько он  действительны они не известны мне на данный момент.

      Я сейчас произвел копию автономной машины, чтобы её выгрузить в виртуальному машину и при помощи снимков (snapshot) проводить тест на восстановление файлов,
      с учетом того, что при не корректных действий, я могу вернутся назад в исходному состоянию и проверить снова.

      Вирус шифровщик вымогатель именую себя файлом и наименованием как "Desktop locker" - которая запущена на экране и просит вести пароль.
      При вводе тестового пароль, он сразу сообщает, что сколько попыток мне осталось до ? "не известного состояния".

      Найденных в описаниях в сети, написано что "CryLock" это следующим типом или программистом Cryakl и его решение.

      Как можно решить вопрос с дешифрации с помощью специалистов ?



    • От kuranow
      Прошу помочь в расшифровке данных.
      Зашифрованы файлы документов.
      В расширении добавлено [darkmask@mailfence.com][fervis].[98252B9E-3FE98E00]
      В каждой папке появился файл how_to_decrypt.hta
      Удалось найти оригинальные, не зашифрованные файлы. Возможно это поможет.
      Заранее благодарен за помощь.
       
      Files.rar
    • От Alexsm
      Добрый День
      Файлы зашифрованы по типу имя_файла[balancebb@mailfence.com].[FC9CDEB9-37C604B8]
      По описанию похож на Cryakl 1.9.0.0
      Вирус удалил все зараженные файлы но получилось восстановить
      OS не загружается логов предоставить не могу
      Прошу помочь с расшифровкой бэкапов
      Описание во вложенииhow_to_decrypt.zip зашифрованный файл.zip  файл от бэкапа зашифрованный.zip
×
×
  • Создать...