Перейти к содержанию

[РАСШИФРОВАНО]Шифровальщик EnCiPhErEd

Artemk25
 Поделиться

Рекомендуемые сообщения

Artemk25

Artemk25

Опубликовано
Опубликовано

Добрый день.

Все файлы стали c расширением EnCiPhErEd, даже lnk, ни одну программу не удается запустить. Можно ли это победить

Sandor

Sandor

Опубликовано
Опубликовано

Постарайтесь найти пару - зашифрованный файл и его не зашифрованный оригинал. Ищите такой в резервных копиях, во вложениях к письмам, на других ПК и т.п.

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2021-05-12] () [Файл не подписан]
Startup: C:\Users\Atp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2021-05-12] () [Файл не подписан]
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\WINDOWS\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\WINDOWS\Tasks\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\WINDOWS\SysWOW64\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\WINDOWS\SysWOW64\Drivers\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Public\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Public\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Public\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Public\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Default\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\AppData\Roaming\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Users\Atp\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\ProgramData\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\ProgramData\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-05-12 08:04 - 2021-05-12 08:04 - 000000544 _____ C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
FirewallRules: [{58D9CCDC-89A9-47F2-8B34-FBE0ED9B4A81}] => (Allow) D:\Флэшка\Driver pack\DriverPack 17.7.129-18120\bin\tools\aria2c.exe => Нет файла
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Далее будет инструкция по расшифровке.

Sandor

Sandor

Опубликовано
Опубликовано

Используйте эту утилиту. В ЛС я отправил вам ключ, который нужно распаковать в ту же папку, куда сохраните утилиту. Если что будет непонятно, спрашивайте.

46 минут назад, Artemk25 сказал:

Зависает на одном месте

Надо было просто дождаться. Но не страшно.

Artemk25

Artemk25

Опубликовано
  • Автор
Опубликовано

Спасибо, получилось.

Осталось теперь диски воскресить, при попытке зайти на них предлагает отформатировать

 

Sandor

Sandor

Опубликовано
Опубликовано

О каких дисках идёт речь?

 

В завершение по нашей части:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • Sandor изменил название на [РАСШИФРОВАНО]Шифровальщик EnCiPhErEd
Artemk25

Artemk25

Опубликовано
  • Автор
Опубликовано
8 минут назад, Sandor сказал:

О каких дисках идёт речь?

 

В завершение по нашей части:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

Прикрепил.

 

Да после этого шифрования, разделы на 2 и 3 диске показывает что они RAW.

SecurityCheck.txt

Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.18.4 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitTorrent v.7.10.5.45496 Внимание! Клиент сети P2P с рекламным модулем!.
 

 

20 минут назад, Artemk25 сказал:

разделы на 2 и 3 диске показывает что они RAW

Обратитесь в соседний раздел и укажите там ссылку на эту тему.

 

Рекомендации после удаления вредоносного ПО

Artemk25

Artemk25

Опубликовано
  • Автор
Опубликовано

Спасибо за расшифровку.

 

Хотелось бы спросить может быть кто сталкивался. Кому-нибудь что то делали с разделом диска. Просто после шифрования 2 раздела оказались raw, восстановить данные не получается. Уже кучу программ испробовали

thyrex

thyrex

Опубликовано
Опубликовано

Этот шифратор никогда не повреждал структуру диска. Такого функционала в нем нет.

Artemk25

Artemk25

Опубликовано
  • Автор
Опубликовано
1 час назад, thyrex сказал:

Этот шифратор никогда не повреждал структуру диска. Такого функционала в нем нет.

Значит что то дополнительно сделали. Потому что эти 2 раздела находиться на двух разных физических дисках. Печально.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sergio7
      шифровальщик Filecoder.Q
      Автор sergio7
      Помогите решить проблему с шифровальщиком! Не совсем понятно как он проник, но 2 компа заражены, а это док файлы, ехешники, базы данных....
      Может кто то уже сталкивался с таким шифровщиком и у кого нить есть ключик?
      Комп загружается под временной учеткой, лицензия слетела запускается ехе-файл в виде сообщения типа: у вас все зашифровано, пришлите сообщение на decrythelp@qq.com
      Eset определил угрозу как Win32/Filecoder.Q от приложения 1taskhoste.exe

      Прикрепляю архив логов, как по инструкции
      CollectionLog-2018.02.06-02.03.zip
    • АлексейЧеч
      Интересный вирус. Шифровальщик зашифровал все файлы и удалил их
      Автор АлексейЧеч
      Здравствуйте! Ситуация в следующая,  знакомый бухгалтер обратился за помощью, не смогли войти в 1с. После анализа оказалось, что на сервере удалены все файлы создано два архива с.bin d.bin, которые закрыты паролем естественно в каждом каталоге файл с требованием выкупа. Удаленные файлы почти все возможно восстановить, но все они зашифрованы шифровальщиком с расширение .EnCiPhErEd, диск сейчас не вылечен подключен к другому компьютеру. Расшифровать восстановленные файлы не удается ни xoristdecryptor ни утилитой от Веба. Проверка Kaspersky Security Scan нашла много вирусов Virus.Win32.Neshta.a, и троян trojan-ransom.win32.xorist.ln. Подскажите пожалуйста что сделать, судя по форуму такие данные можно рассшифровать. зараженный файл и его не зашифрованный аналог прилагаю. Если нужны логи программ я не знаю что нужно восстановить удаленные файлы и вылечить сервер или можно делать на компьютере к которому сейчас подключен зараженный диск.   сервер вполне вероятно восстановить не получится а данные очень нужно восстановить.
      222.zip
    • Артём СП
      Зашифровали файлы на ПК. Тип: CRYPTED! расширение *.ryt
      Автор Артём СП
      Здравствуйте!
      01.01.2026 зашифровали файлы на домашнем ПК, работающий как сервер. Зашифровали файлы на OneDrive. Удалили содержимое Яндекс.Диск и очистили корзину.
      03.01.2026 злоумышленники скинули на жесткий диск декодер, но ключа нет.
      Дальше заметил, что из 220 Гб занятого места на диске, осталось 82 Гб информации. Понять не могу, злоумышленники ещё и удалили практически всю информацию!?
    • krechmerda
      вирус шифровальщик
      Автор krechmerda
      Винда грузится, но зашифрованы файлы с документами и 1с. На компе появился файл дешифратор.exe
      CollectionLog-2019.11.27-01.11.zip
    • sbaideq
      Шифровальщик unblocked@email.su
      Автор sbaideq
      недавно заметил что зашифровались все фото на диске.
      указали почту unblocked@email.su и unblocked@tuta.io

      как-то можно вернуть обратно исходники?
×
×
  • Создать...