EvgeniyR 0 Опубликовано 3 апреля, 2021 Share Опубликовано 3 апреля, 2021 Поймали шифровальщик [kingkong2@tuta.io] на 2 копьютера. Пользователи сообщили, что начали пропадать файл. 1 компьютер зашифрован полностью . 2 компьютер был сразу же выключен, на нем пострадало талька часть файлов. Есть шанс расшифровать? логи анализа, сообщение о выкупе и зашифрованные файл прилагаю FRST.txt Новый1.zip ransom_message .txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 3 апреля, 2021 Share Опубликовано 3 апреля, 2021 Здравствуйте, почему логи сделаны из режима восстановления? Система не стартует? Ссылка на сообщение Поделиться на другие сайты
EvgeniyR 0 Опубликовано 3 апреля, 2021 Автор Share Опубликовано 3 апреля, 2021 Система стартует. Просто побоялся что вирус может присутствовать в загрузке системы. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 3 апреля, 2021 Share Опубликовано 3 апреля, 2021 Ок, тогда сделайте такой лог из режима восстановления, но только uvs скачайте отсюда Ссылка на сообщение Поделиться на другие сайты
EvgeniyR 0 Опубликовано 3 апреля, 2021 Автор Share Опубликовано 3 апреля, 2021 (изменено) Лог сделал. SRV-PMF-003_2021-04-03_19-29-20_v4.11.5.7z Изменено 3 апреля, 2021 пользователем EvgeniyR опечатка Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 3 апреля, 2021 Share Опубликовано 3 апреля, 2021 (изменено) На сервере не вижу в автозагрузке активных файлов шифровальщика. Вероятно при шифровании пострадали только файлы в сетевых папках. Попробуйте сделать логи из обычного режима. Для второго компьютера создайте отдельную тему. Там компьютер заражен. На клиентском компьютере заблокируйте учетную запись john и изолируйте его на время лечения. Изменено 3 апреля, 2021 пользователем mike 1 Ссылка на сообщение Поделиться на другие сайты
EvgeniyR 0 Опубликовано 4 апреля, 2021 Автор Share Опубликовано 4 апреля, 2021 Лог сделал Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 4 апреля, 2021 Share Опубликовано 4 апреля, 2021 (изменено) ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: SystemRestore: ON CreateRestorePoint: HKLM\...\Winlogon: [LegalNoticeCaption] Information... HKLM\...\Winlogon: [LegalNoticeText] to return the Data, write to us by mail - kingkong2@tuta.io Startup: C:\Users\superuser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk [2021-04-02] ShortcutTarget: mystartup.lnk -> C:\Users\eryzhkin\AppData\Local\Temp\RESTORE_FILES_INFO.txt (Нет файла) Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Изменено 4 апреля, 2021 пользователем mike 1 Ссылка на сообщение Поделиться на другие сайты
EvgeniyR 0 Опубликовано 4 апреля, 2021 Автор Share Опубликовано 4 апреля, 2021 лог-файл (Fixlog.txt) сделал. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 4 апреля, 2021 Share Опубликовано 4 апреля, 2021 Лицензия на Антивирус Касперского имеется? Ссылка на сообщение Поделиться на другие сайты
EvgeniyR 0 Опубликовано 4 апреля, 2021 Автор Share Опубликовано 4 апреля, 2021 13 минут назад, mike 1 сказал: Лицензия на Антивирус Касперского имеется? Нет. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 4 апреля, 2021 Share Опубликовано 4 апреля, 2021 Тогда сделайте запрос на расшифровку в техподдержку вашего вендора. В Вашем случае это Eset. На форуме с расшифровкой файлов помочь не сможем. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти