Перейти к содержанию

Шифровальщик зашифровал файлы. Прошу помощи


Рекомендуемые сообщения

Здравствуйте. Утром придя на работу комп перезагрузился якобы из-за ошибки. После перезагрузки вылезла вот эта радость. Помогите, пожалуйста решить проблему, если это возможно. Заранее спасибо.

FRST.rar

Зашифрованные файлы.rar

Изменено пользователем andy.b
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Один из файлов Инструкция.TXT прикрепите к следующему сообщению. (Шансов на успех почти нет).

Ссылка на сообщение
Поделиться на другие сайты

Виноват, я не заметил, что этот файл был в архиве с логами. К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке следов в системе нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты

Переустановка точно нет, от помощи в очистке не откажусь. Врать не буду на компе было много важной инф, если других вариантов не останется, боюсь придется общаться с вымогателями((

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    
    HKU\S-1-5-21-2618996704-4075404366-2097917163-1000\...\Run: [oVKBasR] => C:\Users\user\Инструкция.TXT [2859 2020-10-23] () [File not signed]
    2020-10-23 23:28 - 2020-10-23 23:28 - 000002859 _____ C:\Users\user\Инструкция.TXT
    2020-10-23 22:42 - 2020-10-23 22:42 - 000002859 _____ C:\Users\Гость\Инструкция.TXT
    2020-10-23 22:42 - 2020-10-23 22:42 - 000002859 _____ C:\Users\Администратор\Инструкция.TXT
    2020-10-23 22:24 - 2020-10-23 22:24 - 000002859 _____ C:\Users\user\Downloads\Инструкция.TXT
    2020-10-23 22:24 - 2020-10-23 22:24 - 000002859 _____ C:\Users\user\Documents\Инструкция.TXT
    2020-10-23 21:41 - 2020-10-23 23:28 - 000002859 _____ C:\Users\user\Desktop\Инструкция.TXT
    2020-10-23 21:41 - 2020-10-23 21:41 - 000002859 _____ C:\Users\DefaultAppPool\Инструкция.TXT
    2020-10-23 21:34 - 2020-10-23 21:34 - 000002859 _____ C:\Инструкция.TXT
    BHO: No Name -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> No File
    BHO-x32: No Name -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> No File
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
21 минуту назад, andy.b сказал:

от помощи в очистке не откажусь

Это и есть очистка следов. Что вас смущает?

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, Sandor сказал:

Это и есть очистка следов. Что вас смущает?

Не смущает. Просто хочу понимать, что мы делаем. Я рядовой пользователь без спец.знаний.

 

После этих мероприятий, в случае необходимости у меня останется возможность расшифровки через вымогателей? 

Ссылка на сообщение
Поделиться на другие сайты
25 минут назад, Sandor сказал:

Скопируйте выделенный текст (правой кнопкой - Копировать).

Выделенный текст сюда вставлять? fixlist.txt 

Ссылка на сообщение
Поделиться на другие сайты

Существуют два варианта выполнения скрипта. Я подробно расписал вариант, когда вставлять ничего не нужно. Скрипт выполнится из буфера обмена, просто в точности выполняйте инструкцию.

Ссылка на сообщение
Поделиться на другие сайты

Вы ведь об этом не сообщили, а я не смог догадаться :)

В таком случае, да, создайте файл fixlist.txt и поместите его рядом с файлом FRST64.exe

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • morose
      От morose
      У меня есть этот файл, подскажите как отправить вам
       
      Сообщение от модератора kmscom Сообщение вынесено из темы Вирус-шифровальщик [blankqq@tuta.io].elpy  
    • ksiva1967
      От ksiva1967
      Добрый день! На сервер проник вирус-шифровальщик. произошло шифрование файлов и деструкция тела сервера, вирус пытался выполнить шифрование удалённых ПК. Сервер отсекли от локалки, провели лечение Dr.Web LiveDisk, обнаружено тело вируса - fast.exe,  Dr.Web идентифицировал его как trojan.click3.31128. Просим помощи в дешифровке файлов. Заранее спасибо!
      Шифрованные файлы и требования вымогателей.zip LOG FILES FRST.ZIP
    • Serj148
      От Serj148
      Добрый день. 
      У нас взломали сервер, зашифровали базы данных 1с и рабочие вордовские и экселевские файлы. Оставили письмо с инструкцией как действовать чтобы расшифровать.
      1. Стоит ли доверять этому письму? (письмо прикрепляю)
      2. Возможно ли расшифровать эти файлы? (пример прикрепляю)
       
      readme.txt Комплектация-мужской жилет ОЛИМП.xlsx.rar
    • Vatary88
      От Vatary88
      Привет, шифровальщик пролез через RDP. Есть шанс к расшифровке.
      Записку и пример файла прилагаю
      Desktop.rar
    • astrakhov
      От astrakhov
      Montly_backups_-_192.168.60.40.zip Addition.txt FRST.txt
×
×
  • Создать...