Перейти к содержанию

Помощь в расшифровке XMRLocker


Рекомендуемые сообщения

Добрый день!

 

Прошу помощи в расшифровке файлов.

Напал XMRLocker.

Зашифровались в основном jpeg, doc, pdf.

Прикладываю как в инструкции необходимые файлы, а также сохраненные оригинальные копии зашифрованных pdf - архив OriginalDocs.rar.

Addition_19-08-2020 14.46.38.txt CryptedDocs_And_Readme.rar FRST_19-08-2020 14.46.38.txt OriginalDocs.rar

Ссылка на комментарий
Поделиться на другие сайты

Цитата

HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION

Эти политики сами настраивали?
 

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [CredSSP] => "C:\ProgramData\CredSSP\workout.exe"
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION
HKLM\...\Winlogon: [LegalNoticeCaption] Does the morning starts with coffee?
HKLM\...\Winlogon: [LegalNoticeText] All your files are encrypted by [XMRLocker] xmrlocker@goat.si
C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на комментарий
Поделиться на другие сайты

  • 10 месяцев спустя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Warrr
      Автор Warrr
      Прошу помощи с расшифровкой вируса Mimic. В поддержку уже обращался, сказали, не помогут. Есть много пар зашифрованных/оригинальных файлов. Может можно что-то придумать…
       
      спасибо 
    • Джо
      Автор Джо
      Добрый день, наткнулся на новость Доступна расшифровка файлов после CryLock 2.0.0.0, 1.9.2.1 и 1.8.0.0 | VirusNet
      Может быть действительно появился шанс восстановить свои файлы после того как был атакован через RDP, зашифровались где-то в 2020г

      Система была перестановлена, неоднократно и железо тоже заменено(но доступ к нему еще есть если это важно)

      Если действительно расшифорвка поможет, буду очень благодарен. Думаю не я один такой "счастливчик" и вы спасете ценную информацию многих людей.
      Шифровальщик судя по всему CryLock 1.9 выкупт от почты graff_de_malfet@protonmail.ch (decrypt files? write to this mail: graff_de_malfet@protonmail.ch)
       
      crypted.7z
       
      как вариант у меня есть оригинальный файл и зашифрованный, если это может хоть както  помочь..
    • Равиль.М
      Автор Равиль.М
      Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил
      FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar
    • Daniil Kovalev
      Автор Daniil Kovalev
      Добрый день словили шифровальщик biobiorans
      Можете помочь расшифровкой файлов?
      Тело шифровальщика найти не удалось
      Вкладываю примеры с зашифрованными файликами - это логи MS SQL сервера  *.ldf

      Текст вымогателя:
      BioBio Ransmoware ATTENTION! At the moment, your system is not protected. We can fix itand restore files. To get started, send a file to decrypt trial. You can trust us after opening the test file. 2.Do not use free programs to unlock. To restore the system write to both : biobiorans@gmail.com        and      biobiorans@keemail.me Telegram id:@biobiorans Your Decryption ID: ******
      FRST.txt
      Crypted2.7z Crypted1.7z
    • M_X
      Автор M_X
      Здравствуйте. Зашифровали файлы... 
      Скорее всего проникли через RDP...
      Сам шифровальщик не обнаружал....
      Установленный антивирус - не отработал и был также зашифрован (symantec) .. После установил MalWarebytes.
      FRST.txt Addition.txt Desktop.rar
×
×
  • Создать...