Перейти к содержанию

Шифровальщик зашифровал файлы. Прошу помощи


Рекомендуемые сообщения

Здравствуйте. Утром придя на работу комп перезагрузился якобы из-за ошибки. После перезагрузки вылезла вот эта радость. Помогите, пожалуйста решить проблему, если это возможно. Заранее спасибо.

FRST.rar

Зашифрованные файлы.rar

Изменено пользователем andy.b
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Один из файлов Инструкция.TXT прикрепите к следующему сообщению. (Шансов на успех почти нет).

Ссылка на сообщение
Поделиться на другие сайты

Виноват, я не заметил, что этот файл был в архиве с логами. К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке следов в системе нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты

Переустановка точно нет, от помощи в очистке не откажусь. Врать не буду на компе было много важной инф, если других вариантов не останется, боюсь придется общаться с вымогателями((

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    
    HKU\S-1-5-21-2618996704-4075404366-2097917163-1000\...\Run: [oVKBasR] => C:\Users\user\Инструкция.TXT [2859 2020-10-23] () [File not signed]
    2020-10-23 23:28 - 2020-10-23 23:28 - 000002859 _____ C:\Users\user\Инструкция.TXT
    2020-10-23 22:42 - 2020-10-23 22:42 - 000002859 _____ C:\Users\Гость\Инструкция.TXT
    2020-10-23 22:42 - 2020-10-23 22:42 - 000002859 _____ C:\Users\Администратор\Инструкция.TXT
    2020-10-23 22:24 - 2020-10-23 22:24 - 000002859 _____ C:\Users\user\Downloads\Инструкция.TXT
    2020-10-23 22:24 - 2020-10-23 22:24 - 000002859 _____ C:\Users\user\Documents\Инструкция.TXT
    2020-10-23 21:41 - 2020-10-23 23:28 - 000002859 _____ C:\Users\user\Desktop\Инструкция.TXT
    2020-10-23 21:41 - 2020-10-23 21:41 - 000002859 _____ C:\Users\DefaultAppPool\Инструкция.TXT
    2020-10-23 21:34 - 2020-10-23 21:34 - 000002859 _____ C:\Инструкция.TXT
    BHO: No Name -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> No File
    BHO-x32: No Name -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> No File
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
21 минуту назад, andy.b сказал:

от помощи в очистке не откажусь

Это и есть очистка следов. Что вас смущает?

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, Sandor сказал:

Это и есть очистка следов. Что вас смущает?

Не смущает. Просто хочу понимать, что мы делаем. Я рядовой пользователь без спец.знаний.

 

После этих мероприятий, в случае необходимости у меня останется возможность расшифровки через вымогателей? 

Ссылка на сообщение
Поделиться на другие сайты
25 минут назад, Sandor сказал:

Скопируйте выделенный текст (правой кнопкой - Копировать).

Выделенный текст сюда вставлять? fixlist.txt 

Ссылка на сообщение
Поделиться на другие сайты

Существуют два варианта выполнения скрипта. Я подробно расписал вариант, когда вставлять ничего не нужно. Скрипт выполнится из буфера обмена, просто в точности выполняйте инструкцию.

Ссылка на сообщение
Поделиться на другие сайты

Вы ведь об этом не сообщили, а я не смог догадаться :)

В таком случае, да, создайте файл fixlist.txt и поместите его рядом с файлом FRST64.exe

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От tps962
      Проблема с шифрованием файлов на дисках видимо возникла после атаки по RDP. Обнаружил ее после того как удаленно подключился к зараженному компьютеру. Все файлы диска D, в т.ч. база данных 1С и частично диска С были переименованы - добавлено расширение siliconegun@tutanota.com. Kaspersky Total Security (установленный позже) ничего не обнаружил. Прошу оказать возможную помощь по расшифровке файлов.
      С уважением.
      Addition.txt FRST.txt virus.zip
    • От Маргo
      Скорее всего после скачивания ключей для ESET NOD 32 зашифрованы были все файлы.Прошу проверить на возможность расшифровки файлов
      FRST.txt Addition.txt virus.rar
    • От Дроздов Алексей
      Прошу проверить на возможность расшифровки файлов 
      в прикреплении архив. информация шифровальщика и 2 зашифрованных файла для примера
      file.rar
    • От serega1989
      Здравствуйте. Установлена Лицензия endpoint security 11. 14 августа приблизительно в 20:00 по мск. произошло заражение. Мною был вынут диск, вставлен в другой компьютер и произведено лечение kaspersky endpoint security 11. После вставил диск обратно и сделал файлы с помощью программы FRST64.exe. Файлы заражения и инструкцию прикрепил.
      Файлы.rar
    • От M_i_x_a_i_l
      Добрый день!

      Во время выходных поймали шифровальщик на нескольких компьютерах, который шифрует файлы в расширение .saved, имена зашифрованы. Можно ли что-то сделать?

       
      Desktop_.7z
×
×
  • Создать...