Перейти к содержанию

Помощь в расшифровке XMRLocker

RCAV
 Поделиться

Рекомендуемые сообщения

RCAV

RCAV

Опубликовано
Опубликовано

Добрый день!

 

Прошу помощи в расшифровке файлов.

Напал XMRLocker.

Зашифровались в основном jpeg, doc, pdf.

Прикладываю как в инструкции необходимые файлы, а также сохраненные оригинальные копии зашифрованных pdf - архив OriginalDocs.rar.

Addition_19-08-2020 14.46.38.txt CryptedDocs_And_Readme.rar FRST_19-08-2020 14.46.38.txt OriginalDocs.rar

thyrex

thyrex

Опубликовано
Опубликовано
Цитата

HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION

Эти политики сами настраивали?
 

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM\...\Run: [CredSSP] => "C:\ProgramData\CredSSP\workout.exe"
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION
HKLM\...\Winlogon: [LegalNoticeCaption] Does the morning starts with coffee?
HKLM\...\Winlogon: [LegalNoticeText] All your files are encrypted by [XMRLocker] xmrlocker@goat.si
C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

  • 10 месяцев спустя...
Владимир_ADR

Владимир_ADR

Опубликовано
Опубликовано

Извиняюсь, что поднимаю старую тему, но хотелось-бы узнать - Вам помогли с расшифровкой файлов?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • АлексейСв
      помощь в расшифровке
      Автор АлексейСв
      доброго времени суток. кто-нибудь может помочь с расшифровкой после шифровальщика? 
    • Gera_rostov
      Помощь с расшифровкой
      Автор Gera_rostov
      Наш сервер был зашифрован, все файлы с расширением  ".NESCHELKAIEBALOM"
      Выполнили переустановку системы, есть ли возможность восстановить без оплаты ?
    • Warrr
      Помощь с расшифровкой Mimic
      Автор Warrr
      Прошу помощи с расшифровкой вируса Mimic. В поддержку уже обращался, сказали, не помогут. Есть много пар зашифрованных/оригинальных файлов. Может можно что-то придумать…
       
      спасибо 
    • Владислав Эпштейн
      Помощь в расшифровке файлов
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • Daniil Kovalev
      Помощь в расшифровке biobiorans
      Автор Daniil Kovalev
      Добрый день словили шифровальщик biobiorans
      Можете помочь расшифровкой файлов?
      Тело шифровальщика найти не удалось
      Вкладываю примеры с зашифрованными файликами - это логи MS SQL сервера  *.ldf

      Текст вымогателя:
      BioBio Ransmoware ATTENTION! At the moment, your system is not protected. We can fix itand restore files. To get started, send a file to decrypt trial. You can trust us after opening the test file. 2.Do not use free programs to unlock. To restore the system write to both : biobiorans@gmail.com        and      biobiorans@keemail.me Telegram id:@biobiorans Your Decryption ID: ******
      FRST.txt
      Crypted2.7z Crypted1.7z
×
×
  • Создать...