Помощь в расшифровке XMRLocker

[RCAV 0]

Добрый день!

 

Прошу помощи в расшифровке файлов.

Напал XMRLocker.

Зашифровались в основном jpeg, doc, pdf.

Прикладываю как в инструкции необходимые файлы, а также сохраненные оригинальные копии зашифрованных pdf - архив OriginalDocs.rar.

Addition_19-08-2020 14.46.38.txt CryptedDocs_And_Readme.rar FRST_19-08-2020 14.46.38.txt OriginalDocs.rar

[thyrex 1 180]

Цитата

HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION

Эти политики сами настраивали?
 

[RCAV 0]

Админ говорит, что нет.

[thyrex 1 180]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [CredSSP] => "C:\ProgramData\CredSSP\workout.exe"
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION
HKLM\...\Winlogon: [LegalNoticeCaption] Does the morning starts with coffee?
HKLM\...\Winlogon: [LegalNoticeText] All your files are encrypted by [XMRLocker] xmrlocker@goat.si
C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

[RCAV 0]

Выполнил. Перегрузил.

Fixlog_22-08-2020 23.20.21.txt

[thyrex 1 180]

При наличии действующей лицензии на любой их продуктов компании создайте запрос

[RCAV 0]

Добрый день.

 

Запрос создал.