Перейти к содержанию

[РАСШИФРОВАНО]Шифровальщик EnCiPhErEd


Рекомендуемые сообщения

Постарайтесь найти пару - зашифрованный файл и его не зашифрованный оригинал. Ищите такой в резервных копиях, во вложениях к письмам, на других ПК и т.п.

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2021-05-12] () [Файл не подписан]
    Startup: C:\Users\Atp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2021-05-12] () [Файл не подписан]
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\WINDOWS\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\WINDOWS\Tasks\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\WINDOWS\SysWOW64\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\WINDOWS\SysWOW64\Drivers\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Public\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Public\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Public\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Public\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Default\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\AppData\Roaming\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\ProgramData\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\ProgramData\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    FirewallRules: [{58D9CCDC-89A9-47F2-8B34-FBE0ED9B4A81}] => (Allow) D:\Флэшка\Driver pack\DriverPack 17.7.129-18120\bin\tools\aria2c.exe => Нет файла
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Далее будет инструкция по расшифровке.

Ссылка на сообщение
Поделиться на другие сайты

Используйте эту утилиту. В ЛС я отправил вам ключ, который нужно распаковать в ту же папку, куда сохраните утилиту. Если что будет непонятно, спрашивайте.

46 минут назад, Artemk25 сказал:

Зависает на одном месте

Надо было просто дождаться. Но не страшно.

Ссылка на сообщение
Поделиться на другие сайты

О каких дисках идёт речь?

 

В завершение по нашей части:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to [РАСШИФРОВАНО]Шифровальщик EnCiPhErEd
8 минут назад, Sandor сказал:

О каких дисках идёт речь?

 

В завершение по нашей части:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

Прикрепил.

 

Да после этого шифрования, разделы на 2 и 3 диске показывает что они RAW.

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.18.4 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitTorrent v.7.10.5.45496 Внимание! Клиент сети P2P с рекламным модулем!.
 

 

20 минут назад, Artemk25 сказал:

разделы на 2 и 3 диске показывает что они RAW

Обратитесь в соседний раздел и укажите там ссылку на эту тему.

 

Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Спасибо за расшифровку.

 

Хотелось бы спросить может быть кто сталкивался. Кому-нибудь что то делали с разделом диска. Просто после шифрования 2 раздела оказались raw, восстановить данные не получается. Уже кучу программ испробовали

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, thyrex сказал:

Этот шифратор никогда не повреждал структуру диска. Такого функционала в нем нет.

Значит что то дополнительно сделали. Потому что эти 2 раздела находиться на двух разных физических дисках. Печально.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • tized-NSK
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Igor77
      От Igor77
      Доброго дня!
      Пойман шифровальщик, опознанный антивирусом от мелкософта как win32/sorikrypt. Предыстория появления: на компе для удаленной работы включен rdp, пользователи, как выяснилось, могли запускать браузер в rdp сеансе, соответственно скачивать и открывать файлы. В диспетчере задач запущено несколько процессов от левого пользователя (ранее не создавался) с правами администратора. Процессы прибил, пользователь был отключен. Зашифрованные файлы имеют расширение .CoV и тип CRYPTED! Ни один из доступных инструментов для расшифровки не помог.  Вредоносные файлы, какие нашел - в архиве virus.zip. Лог и FRST, образцы зашифрованных файлов и требование выкупа в архиве files.zip
      files.zip virus.zip
    • ZloyM
      От ZloyM
      Утром при входе обнаружилось, что файлы зашифрованы, имеется письмо с требованием денег.
      В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml - запушены утром пользователями, которые точно не могли это сделать.
      От интернета отключил. Если не отключать, то примерно раз в 10 минут пользователя выкидывает и при этом с флешки удаляются все файлы и на нее помещается копия письма с требованием денег.
      CureIt и KVRT нашли только RDPWrap.
      CollectionLog-2023.10.27-13.29.zip
    • Сергей СР
      От Сергей СР
      Доброго времени суток!
       
      Поймали шифровальшика на старый домашний компьютер. После переговоров и оплаты получили от злоумышленников ключ, программу и файлы, которые якобы должны были расшифровать данные . Программа по видимому была пустышкой для вымогания денег. На компьютере установлено два физических диска: SSD с ОС и жесткий диск с данными на 1Тб. До взлома на ЖД был один единственный раздел, занимавший всё свободное пространство. На диск было записано ~350 - 400 Гб данных. Сейчас там два раздела (Том D 391 Гб и E 97 Гб) и неразмеченная область. Можно ли как-то восстановить данные с жесткого диска? Заранее спасибо.
       

      Addition.txt FRST.txt Зашифрованные файлы и сообщение.zip
    • moises ribeiro
      От moises ribeiro
      Fui hackeado por essa extensão, alguém poderia me ajudar? 
      Dados Criptografados (.7ch@v3s)
      A unica forma de desbloquear os arquivos é
      adquirir o Decryptor+Chave respectivo a este ID-72371SD
      envie o id no email para contato: 
       recoverydatablock@proton.me
      prazo max para o contato  20/06/2023 16:00 PM
      - N delete arquivos trancados
      - N não renomeie os arquivos trancados .7ch@v3s
      - N  não poste esta mensagem em nenhum site
        nem denuncie pois podem bloquear este email. 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Интервью с экспертами «Лаборатории Касперского»".
×
×
  • Создать...