Перейти к содержанию

Большинство файлов на компьютере зашифровали


Рекомендуемые сообщения

Здравствуйте
Столкнулся с проблемой зашифрованных файлов на моём пк, в какой момент это произошло и после каких действий сказать точно не могу, так же обнаружил что был удалён антивирус, утром он ещё был.
Все файлы переименованы с ссылкой {yourdataonline@aliyun.com}, можно ли их спасти?
Прикрепляю логи и некоторые файлы в том числе и файл с некоторой инструкцией который удалось найти

Addition.txt FRST.txt Архив WinRAR.rar

Чуть не забыл про само требование

RESTORE_FILES_INFO.txt

Изменено пользователем MatroskinPR
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    Startup: C:\Users\john\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk [2021-04-02]
    ShortcutTarget: mystartup.lnk -> C:\Users\Unknown\AppData\Local\Temp\RESTORE_FILES_INFO.txt (Нет файла)
    2021-04-02 15:32 - 2020-10-31 02:36 - 001179648 _____ (wj32) C:\Users\john\Documents\PHru.exe
    2021-04-02 15:32 - 2019-12-17 15:12 - 000035328 _____ () C:\Users\john\Documents\pass.exe
    2021-03-27 12:14 - 2021-03-27 12:14 - 000000000 __SHD C:\rdp
    2021-03-27 12:14 - 2021-03-27 12:14 - 000000000 __SHD C:\ProgramData\ESET
    2021-03-27 12:14 - 2021-03-27 12:14 - 000000000 __SHD C:\Program Files\RDP Wrapper
    2021-03-27 12:14 - 2021-03-27 12:14 - 000000000 __SHD C:\Program Files\ESET
    2021-03-27 12:14 - 2021-03-27 12:14 - 000000000 __SHD C:\Program Files\Common Files\McAfee
    2021-03-27 12:14 - 2021-03-27 12:14 - 000000000 __SHD C:\Program Files (x86)\Panda Security
    2021-03-27 12:14 - 2021-03-27 12:14 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
    2021-03-27 12:13 - 2021-04-02 15:51 - 000000000 __SHD C:\ProgramData\install
    2021-03-27 12:13 - 2021-04-02 15:32 - 000000000 __SHD C:\ProgramData\WindowsTask
    2021-03-27 12:13 - 2021-04-02 15:32 - 000000000 __SHD C:\ProgramData\Windows
    2021-03-27 12:13 - 2021-03-27 12:22 - 000000000 __SHD C:\ProgramData\RealtekHD
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\ProgramData\Setup
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\ProgramData\RunDLL
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\ProgramData\Norton
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\ProgramData\McAfee
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\ProgramData\grizzly
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\ProgramData\Doctor Web
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\ProgramData\360safe
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files\SpyHunter
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files\Malwarebytes
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files\Kaspersky Lab
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files\Enigma Software Group
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files\COMODO
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files\Cezurity
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files\ByteFence
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files\AVG
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files (x86)\Cezurity
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files (x86)\AVG
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files (x86)\360
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\KVRT_Data
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\AdwCleaner
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 ____D C:\Windows\speechstracing
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 ____D C:\ProgramData\System32
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 ____D C:\ProgramData\MB3Install
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 ____D C:\ProgramData\Malwarebytes
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 ____D C:\ProgramData\Indus
    hosts:
    zip:C:\FRST\Quarantine

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Сделайте новый логи FRST. 

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Вот новые логи и фикс, так же создался файл с временем и датой, попытался загрузить через форму выдало ошибку "Данный файл уже был загружен"

Addition.txt Fixlog.txt FRST.txt

Изменено пользователем MatroskinPR
Ссылка на сообщение
Поделиться на другие сайты
12 часов назад, mike 1 сказал:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод

Не выполнено. Выделил специально цветом, но все равно не обратили внимания. 

 

Удалите или заблокируйте учетную запись john, если ее не создавали сами. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    () [Файл не подписан] C:\ProgramData\Windows\rutserv.exe
    U3 aswbdisk; отсутствует ImagePath
    Unlock: C:\ProgramData\Windows
    C:\ProgramData\Windows

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Вот следующие логи фикса и новые логи сконирования, создавал в юникоде, учетной записи john не обнаружил.

Fixlog.txt

Addition.txt FRST.txt

Изменено пользователем MatroskinPR
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот в кодировке Юникод и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    C:\ProgramData\Windows\rutserv.exe
    2021-03-27 12:14 C:\ProgramData\Avira
    CMD: net user john /delete
    

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Удалите папку C:\ProgramData\Windows.  

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Krazos
      Здравствуйте, после ночной атаки был зашифрован сервер. При запуске системы Windows Server 2008 R2 на начальном экране ввода пользователя с паролем происходит автоматическая перезагрузка. 
      Есть шанс на дешифровку? Файлы прилагаю.
      Зашифрованные файлы с текстом вымогателей.rar FRST.txt
    • От Успех Каждому
      Добрый день, сотрудник поймал вирус-шифровальщик на ноутбуке, файлы переименовались в расширение *.*.[ID-215CFE80].[kingkong2@tuta.io].VIPxxx. Логи FRST прислать не могу, т.к из за шифровальщика не запускается система. Прилагаю 2 зашифрованных файла а также записку о выкупе. Что это за название шифровальщика и есть ли решение по расшифровке файлов ?
      Archive.zip
    • От kormash
      Файл зашифрован. Пиши. Почта lisasu@elude.in [5218].WANNACASH NCOV v280420 Как нибудь можно расшифровать,буду очень благодарен
      Файл зашифрован. Пиши. Почта lisasu@elude.in [5218].WANNACASH NCOV v280420.zip
    • От Nick2312
      Добрый день,
      словили вирус шифровальщик. В результате общения со злоумышленниками удалось получить ключик,
      но нет самой программы дешифратора.  Если есть возможность, поделитесь программой. 
       
      ЗЫЖ
      Да, такое бывает. Кто-то заплатил и получил ответ. Кто-то получил программу иными путями. 
    • От Lan63
      Пришел на работу, включен компьютер, хотя вечером выключал, захожу весит на рабочем столе письмо о выкупе, есть пару оригинальных файлов из тех которые зашифрованы
      FRST.rar Зашифрованные.rar Oreg.rar
×
×
  • Создать...