Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

[РАСШИФРОВАНО]Шифровальщик EnCiPhErEd

Artemk25
 Поделиться

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Постарайтесь найти пару - зашифрованный файл и его не зашифрованный оригинал. Ищите такой в резервных копиях, во вложениях к письмам, на других ПК и т.п.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2021-05-12] () [Файл не подписан]
Startup: C:\Users\Atp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2021-05-12] () [Файл не подписан]
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\WINDOWS\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\WINDOWS\Tasks\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\WINDOWS\SysWOW64\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\WINDOWS\SysWOW64\Drivers\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Public\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Public\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Public\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Public\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Default\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\AppData\Roaming\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\ProgramData\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\ProgramData\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
FirewallRules: [{58D9CCDC-89A9-47F2-8B34-FBE0ED9B4A81}] => (Allow) D:\Флэшка\Driver pack\DriverPack 17.7.129-18120\bin\tools\aria2c.exe => Нет файла
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Далее будет инструкция по расшифровке.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Используйте эту утилиту. В ЛС я отправил вам ключ, который нужно распаковать в ту же папку, куда сохраните утилиту. Если что будет непонятно, спрашивайте.

46 минут назад, Artemk25 сказал:

Зависает на одном месте

Надо было просто дождаться. Но не страшно.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

О каких дисках идёт речь?

 

В завершение по нашей части:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
  • Sandor изменил название на [РАСШИФРОВАНО]Шифровальщик EnCiPhErEd
Artemk25 Новичок

Artemk25

Опубликовано
  • Автор
Опубликовано
8 минут назад, Sandor сказал:

О каких дисках идёт речь?

 

В завершение по нашей части:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

Прикрепил.

 

Да после этого шифрования, разделы на 2 и 3 диске показывает что они RAW.

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.18.4 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitTorrent v.7.10.5.45496 Внимание! Клиент сети P2P с рекламным модулем!.
 

 

20 минут назад, Artemk25 сказал:

разделы на 2 и 3 диске показывает что они RAW

Обратитесь в соседний раздел и укажите там ссылку на эту тему.

 

Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты
Artemk25 Новичок

Artemk25

Опубликовано
  • Автор
Опубликовано

Спасибо за расшифровку.

 

Хотелось бы спросить может быть кто сталкивался. Кому-нибудь что то делали с разделом диска. Просто после шифрования 2 раздела оказались raw, восстановить данные не получается. Уже кучу программ испробовали

Ссылка на комментарий
Поделиться на другие сайты
Artemk25 Новичок

Artemk25

Опубликовано
  • Автор
Опубликовано
1 час назад, thyrex сказал:

Этот шифратор никогда не повреждал структуру диска. Такого функционала в нем нет.

Значит что то дополнительно сделали. Потому что эти 2 раздела находиться на двух разных физических дисках. Печально.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Rena73
      Пытаюсь расшифровать шифровальщика.
      Автор Rena73
      Пытаюсь расшифровать файлы. не получается. ZXyL8wFFae.rar
    • foroven
      [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln
      Автор foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
    • Orbeatt
      Прошу помочь расшифровать. Есть Исходник и расшифрованный вариант от злоумышленника.
      Автор Orbeatt
      В архиве 2 файла упакованные шифровальщиком и они же расшифрованные злоумышленником. Прошу помочь со средством для расшифровки остальных файлов
      files2.rar
       
    • Sidri
      [РАСШИФРОВАНО]Шифровальщик ransom:Win32/Sorikrypt
      Автор Sidri
      Доброго дня.
      Антивирусом Windows найден шифровальщик ransom:Win32/Sorikrypt. Cureit не нашел ничего.
      В архиве зашифрованные файлы, файл с требованием денег и папка с каким-то ключом.
       
      Addition.txt FRST.txt зашифрованные_файлы.zip
    • BORIS59
      [РАСШИФРОВАНО] Поймал шифровальщика вымогателя.
      Автор BORIS59
      Доброго времечка поймал шифровальщик, система не переустанавливалась.
      Зашифровали файлы (WANNACASH NCOV v170720), требуют выкуп!
      Попался на поиске ключей ESET, в 2020г. Обращался в ESET про пудрили
      мозг и смылись. Приложил скрин kvrt сделан сразу после шифровки.
      Подскажите, пожалуйста, возможно восстановить?

      Farbar Recovery Scan Tool.zip Файлы с требованиями злоумышленников.zip Зашифрованные файлы.zip
×
×
  • Создать...