Перейти к содержанию

Шифровальщик зашифровал файлы. Прошу помощи


Рекомендуемые сообщения

Здравствуйте. Утром придя на работу комп перезагрузился якобы из-за ошибки. После перезагрузки вылезла вот эта радость. Помогите, пожалуйста решить проблему, если это возможно. Заранее спасибо.

FRST.rar

Зашифрованные файлы.rar

Изменено пользователем andy.b
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Один из файлов Инструкция.TXT прикрепите к следующему сообщению. (Шансов на успех почти нет).

Ссылка на сообщение
Поделиться на другие сайты

Виноват, я не заметил, что этот файл был в архиве с логами. К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке следов в системе нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты

Переустановка точно нет, от помощи в очистке не откажусь. Врать не буду на компе было много важной инф, если других вариантов не останется, боюсь придется общаться с вымогателями((

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    
    HKU\S-1-5-21-2618996704-4075404366-2097917163-1000\...\Run: [oVKBasR] => C:\Users\user\Инструкция.TXT [2859 2020-10-23] () [File not signed]
    2020-10-23 23:28 - 2020-10-23 23:28 - 000002859 _____ C:\Users\user\Инструкция.TXT
    2020-10-23 22:42 - 2020-10-23 22:42 - 000002859 _____ C:\Users\Гость\Инструкция.TXT
    2020-10-23 22:42 - 2020-10-23 22:42 - 000002859 _____ C:\Users\Администратор\Инструкция.TXT
    2020-10-23 22:24 - 2020-10-23 22:24 - 000002859 _____ C:\Users\user\Downloads\Инструкция.TXT
    2020-10-23 22:24 - 2020-10-23 22:24 - 000002859 _____ C:\Users\user\Documents\Инструкция.TXT
    2020-10-23 21:41 - 2020-10-23 23:28 - 000002859 _____ C:\Users\user\Desktop\Инструкция.TXT
    2020-10-23 21:41 - 2020-10-23 21:41 - 000002859 _____ C:\Users\DefaultAppPool\Инструкция.TXT
    2020-10-23 21:34 - 2020-10-23 21:34 - 000002859 _____ C:\Инструкция.TXT
    BHO: No Name -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> No File
    BHO-x32: No Name -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> No File
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
21 минуту назад, andy.b сказал:

от помощи в очистке не откажусь

Это и есть очистка следов. Что вас смущает?

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, Sandor сказал:

Это и есть очистка следов. Что вас смущает?

Не смущает. Просто хочу понимать, что мы делаем. Я рядовой пользователь без спец.знаний.

 

После этих мероприятий, в случае необходимости у меня останется возможность расшифровки через вымогателей? 

Ссылка на сообщение
Поделиться на другие сайты
25 минут назад, Sandor сказал:

Скопируйте выделенный текст (правой кнопкой - Копировать).

Выделенный текст сюда вставлять? fixlist.txt 

Ссылка на сообщение
Поделиться на другие сайты

Существуют два варианта выполнения скрипта. Я подробно расписал вариант, когда вставлять ничего не нужно. Скрипт выполнится из буфера обмена, просто в точности выполняйте инструкцию.

Ссылка на сообщение
Поделиться на другие сайты

Вы ведь об этом не сообщили, а я не смог догадаться :)

В таком случае, да, создайте файл fixlist.txt и поместите его рядом с файлом FRST64.exe

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Alex18
      Добрый день!
      Проблема - ночной взлом (как я понимаю через rdp), вирус зашифровал данные на дисках.
      Прошу помощи в расшифровке или хотя бы подсказать что делать.
      Также имеется пара файлов - зашифрованный и не зашифрованный.
      Спасибо!
      files.zip Addition.txt FRST.txt
    • От leoneed.pro
      Добрый день. Нужна помощь в расшифровке файлов, после вируса-шифровальщика. 
      Addition.txt FRST.txt файлы.rar
    • От Anton6
      Зашифровали сервер на Windows Server 2008 R2. Сервер под защитой Kaspersky Endpoint Security 10 for Windows, был использован для баз 1C. Все файлы после расширения имеют:  [zoro4747@gmx.de].zoro. Предыдущие версии файлов уничтожены. Логи приложил.
      CollectionLog-2021.02.10-17.42.zip
    • От Tali
      Здравствуйте, сегодня наша семья стала жертвой мошенников.
      Большинство файлов, кроме системных и exe, зашифрованы с расширением .secure.
      Вирус (trojan.encoder.11464 v2), похоже, самоудалился. Есть пример файла до и после зашифровки.
      Скажите, пожалуйста, есть ли какие-то надежды на восстановление?
      Написали письмо мошенникам на начальном этапе борьбы. Хочется понять, сколько они просят за все семейные фотографии за 20 лет. Пока ответ не получили, но, почитав ваш форум решили, что это – бесполезное дело.
      Большое спасибо!
      2send.rar
    • От tps962
      Проблема с шифрованием файлов на дисках видимо возникла после атаки по RDP. Обнаружил ее после того как удаленно подключился к зараженному компьютеру. Все файлы диска D, в т.ч. база данных 1С и частично диска С были переименованы - добавлено расширение siliconegun@tutanota.com. Kaspersky Total Security (установленный позже) ничего не обнаружил. Прошу оказать возможную помощь по расшифровке файлов.
      С уважением.
      Addition.txt FRST.txt virus.zip
×
×
  • Создать...