Перейти к содержанию

Прошу помощи с расшифровкой

Алексей Ш
 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

C:\Program Files\how_to_back_files.html тоже пришлите

thyrex

thyrex

Опубликовано
Опубликовано

Работали 2 шифратора из семейства Purge 

 

Записка HOW TO RECOVER ENCRYPTED FILES.TXT и файлы вида 6w000000000DJPrZgE6jXY13Ua3e6Y8kSoeY5iMzqUm-yb0Z2ffKt0.program3200@mail.ru - это Scarab-Amnesia

Записка how_to_back_files.html и файлы вида Resmon.ResmonCfg.[proof3200@tutanota.com] - это GlobeImposter 2

 

С расшифровкой помочь не сможем.

Алексей Ш

Алексей Ш

Опубликовано
  • Автор
Опубликовано
7 минут назад, thyrex сказал:

С расшифровкой помочь не сможем.

а мусор почистить поможете?

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {02D84A95-3EF3-4059-A670-FD98EC70850D} - System32\Tasks\At1 => taskkill [Argument = /IM lssas.exe /f] <==== ATTENTION
Task: {0E3F65E7-36B0-479F-9780-663B8727CC0A} - \At4 -> No File <==== ATTENTION
Task: {1930DCCF-C88B-4BA7-952D-1F48888EE2CB} - \DriverPack Notifier -> No File <==== ATTENTION
FF HKLM\...\Firefox\Extensions: [light_plugin_F363A72DD7B6435783A76E5F612C9006@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 17.0.0\FFExt\light_plugin_firefox\addon.xpi => not found
FF HKLM-x32\...\Firefox\Extensions: [light_plugin_F363A72DD7B6435783A76E5F612C9006@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 17.0.0\FFExt\light_plugin_firefox\addon.xpi => not found
S2 ShellHWDetectiod; c:\$RECYC~1\svchost.exe [X]
S2 ShellHWDetectionB; C:\$RECYC~1\svchost.exe [X]
2021-01-06 22:10 - 2021-01-06 22:10 - 000002726 _____ C:\Users\Пользователь\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2021-01-06 22:10 - 2021-01-06 22:10 - 000002726 _____ C:\Users\Пользователь\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2021-01-06 22:02 - 2021-01-06 22:02 - 000002726 _____ C:\Users\Пользователь\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
2021-01-06 22:01 - 2021-01-06 22:01 - 000002726 _____ C:\Users\Пользователь\HOW TO RECOVER ENCRYPTED FILES.TXT
2021-01-06 22:00 - 2021-01-06 22:00 - 000002726 _____ C:\Users\Все пользователи\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2021-01-06 22:00 - 2021-01-06 22:00 - 000002726 _____ C:\Users\Public\HOW TO RECOVER ENCRYPTED FILES.TXT
2021-01-06 22:00 - 2021-01-06 22:00 - 000002726 _____ C:\Users\Public\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
2021-01-06 22:00 - 2021-01-06 22:00 - 000002726 _____ C:\Users\Public\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2021-01-06 22:00 - 2021-01-06 22:00 - 000002726 _____ C:\Users\POS\HOW TO RECOVER ENCRYPTED FILES.TXT
2021-01-06 22:00 - 2021-01-06 22:00 - 000002726 _____ C:\ProgramData\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
2021-01-06 21:59 - 2021-01-06 21:59 - 000002726 _____ C:\Users\MSSQLSERVER\HOW TO RECOVER ENCRYPTED FILES.TXT
2021-01-06 21:59 - 2021-01-06 21:59 - 000002726 _____ C:\Users\HOW TO RECOVER ENCRYPTED FILES.TXT
2021-01-06 19:23 - 2021-01-06 19:23 - 000005011 _____ C:\Program Files\how_to_back_files.html
2021-01-06 19:08 - 2021-01-06 19:08 - 000005011 _____ C:\Users\Default\how_to_back_files.html
2021-01-06 19:08 - 2021-01-06 19:08 - 000005011 _____ C:\Users\Default User\how_to_back_files.html
2021-01-06 19:08 - 2021-01-06 19:08 - 000005011 _____ C:\Program Files (x86)\how_to_back_files.html
2021-01-06 19:07 - 2021-01-06 19:07 - 000005011 _____ C:\Users\Все пользователи\Desktop\how_to_back_files.html
2021-01-06 19:07 - 2021-01-06 19:07 - 000005011 _____ C:\Users\Public\Desktop\how_to_back_files.html
2021-01-06 19:07 - 2021-01-06 19:07 - 000005011 _____ C:\ProgramData\Desktop\how_to_back_files.html
2021-01-06 19:05 - 2021-01-06 19:05 - 000005011 _____ C:\Users\Пользователь\AppData\Local\how_to_back_files.html
2021-01-06 19:05 - 2021-01-06 19:05 - 000005011 _____ C:\Users\Все пользователи\how_to_back_files.html
2021-01-06 19:05 - 2021-01-06 19:05 - 000005011 _____ C:\ProgramData\how_to_back_files.html
2020-12-09 01:40 - 2020-12-18 03:40 - 000003222 _____ C:\Windows\system32\Tasks\At1
2021-01-06 19:23 - 2021-01-06 19:23 - 000005011 _____ () C:\Program Files\how_to_back_files.html
2021-01-06 19:08 - 2021-01-06 19:08 - 000005011 _____ () C:\Program Files (x86)\how_to_back_files.html
2021-01-06 19:05 - 2021-01-06 19:05 - 000005011 _____ () C:\Users\Пользователь\AppData\Local\how_to_back_files.html
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Алексей Ш

Алексей Ш

Опубликовано
  • Автор
Опубликовано
29 минут назад, thyrex сказал:

Пожалуйста, прикрепите его в следующем сообщении.

 

Fixlog.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Maximus02
      Шифровальщик. Окончание файлов .tae7AeTe
      Автор Maximus02
      1.zip
       
      Здравствуйте!
       
      Словили шифровальшик. Пока не выяснили источник, где был произведен запуск шифровальщика. Есть зашифрованные файлы с размером и окончанием .tae7AeTe. Также есть оригинальный файл с нулевым окончанием. Зашифровано все на NAS Synology.
      Помогите пожалуйста с расшифровкой, если это возможно.
    • Eduard Kutuev
      Файлы зашифровало с расширением .RYK
      Автор Eduard Kutuev
      Здравствуйте, вирус зашифровал данные на сервере, ещё нет дешифратора от этого типа? Могу предоставить файл-примеры.
    • Vlad21
      Вирус-шифровальщик @tutanota.com
      Автор Vlad21
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том А на диске, там 2 файла: bootsect.bak и scream.txt. В scream.txt содержание такое: 
                    ~~~ Scream V1.1~~~            
      >>> What happened?
          We encrypted and stolen all of your files.
          We use AES and ECC algorithms.
          Nobody can recover your files without our decryption service.
      >>> How to recover?
          We are not a politically motivated group and we want nothing more than money.
          If you pay, we will provide you with decryption software and destroy the stolen data.
      >>> What guarantees?
          You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
          If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.
      >>> How to contact us?
         Our email address: Scream_@tutanota.com
         In case of no answer within 24 hours, contact to this email: De_Scream@tutanota.com
         Write your personal ID in the subject of the email.
      >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
                              >>>>> SCREAM 1.1 <<<<<
      >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
      >>> Warnings!
        - Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
         They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.
        - Do not hesitate for a long time. The faster you pay, the lower the price.
        - Do not delete or modify encrypted files, it will lead to problems with decryption of files.
      Подскажите, пожалуйста, что делать?
      Данных как-будто нет. 
      Заранее спасибо!
       
    • Сергей СР
      Помогите восстановить жесткий диск после шифровальшика
      Автор Сергей СР
      Доброго времени суток!
       
      Поймали шифровальшика на старый домашний компьютер. После переговоров и оплаты получили от злоумышленников ключ, программу и файлы, которые якобы должны были расшифровать данные . Программа по видимому была пустышкой для вымогания денег. На компьютере установлено два физических диска: SSD с ОС и жесткий диск с данными на 1Тб. До взлома на ЖД был один единственный раздел, занимавший всё свободное пространство. На диск было записано ~350 - 400 Гб данных. Сейчас там два раздела (Том D 391 Гб и E 97 Гб) и неразмеченная область. Можно ли как-то восстановить данные с жесткого диска? Заранее спасибо.
       

      Addition.txt FRST.txt Зашифрованные файлы и сообщение.zip
    • smgl
      Пойман шифровальщик
      Автор smgl
      Всем здравствуйте. Каким-то образом получили доступ к пк, зашифровали все что там нашли. Файлы все зашифрованы в формате DSF, локальные диски стали пустые. Я так понимаю шансов на восстановление 0, пробовал приложения с noransom.kaspersky, не помогли. 
      Addition.txt FRST.txt
×
×
  • Создать...