Шифровальщик MrJeck@Cock.li помогите с расшифровкой есть папка (на дедик) в ней файлы как я понимаю для шифровки

[cybase]

https://postimg.cc/0bZBhm0m   фото содержимое папки

[thyrex]

Правила оформления запроса о помощи

[cybase]

Добрый день после перезагрузки компьютера все файлы зашифрованы, есть еще папка "на дедик" в которой файлы создающие учетную запись и тд(папка в архиве 1 вместе с зашифрованным файлом), прилагаю логи сканирования. Очень нужна помощь так как копии файлов на другом пк тоже зашифрованы.

1.rar Addition.txt FRST.txt

[thyrex]

Цитата

Administrator (S-1-5-21-3019861478-2420880730-3075451242-500 - Administrator - Enabled)
Manager2 (S-1-5-21-3019861478-2420880730-3075451242-1031 - Administrator - Enabled) => C:\Users\Manager2
Nat (S-1-5-21-3019861478-2420880730-3075451242-1024 - Administrator - Enabled)
System32 (S-1-5-21-3019861478-2420880730-3075451242-1050 - Administrator - Enabled)

не многовато пользователей с правами администратора? Они все Вам известны?

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
S1 rlvafyop; \??\C:\Windows\system32\drivers\rlvafyop.sys [X]
S1 rxlsfegg; \??\C:\Windows\system32\drivers\rxlsfegg.sys [X]
S1 zgcektdl; \??\C:\Windows\system32\drivers\zgcektdl.sys [X]
S2 qadswdg; C:\Windows\Inf\storagevservicedbs\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 strwerd; C:\Windows\Inf\storagevservicedbs\000D\1049\5.0\SQL\lsm.exe [X]
S2 wmsvinsdbvmsqlsrvrms; C:\Windows\Inf\msvsqlserverdbvsm\001D\0419\0409\0409\sqldb.exe [X]
Task: {A7AE0D63-6A90-4386-A81D-D87AE7C98E89} - System32\Tasks\Microsoft\Windows\Browser\MWR => cmd.exe /c taskkill /f /im wahiver.exe /t
C:\Windows\Inf\storagevservicedbs\000D
IFEO\perfmon.exe: [Debugger] svchost.exe
IFEO\ProcessHacker.exe: [Debugger] svchost.exe
IFEO\procexp.exe: [Debugger] svchost.exe
IFEO\procexp64.exe: [Debugger] svchost.exe
IFEO\resmon.exe: [Debugger] svchost.exe
IFEO\taskmgr32.exe: [Debugger] svchost.exe
IFEO\taskmgr64.exe: [Debugger] svchost.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{D089EF6C-A998-47B0-8CD6-D204300B5839}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe => Нет файла
FirewallRules: [UDP Query User{89818595-FBD3-42C3-B282-15EE3B011548}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe => Нет файла
FirewallRules: [TCP Query User{93FD1DE2-C5E1-4656-BFCF-B69ACF5F703D}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe => Нет файла
FirewallRules: [UDP Query User{B44F897B-1E64-42D6-9666-A3F873DB33A1}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe => Нет файла
FirewallRules: [TCP Query User{85D29FC2-BE4D-4960-BA09-300F8FAFA3A7}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe => Нет файла
FirewallRules: [UDP Query User{01884D5F-6B16-4797-8726-92AFA26A5FC0}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe => Нет файла
FirewallRules: [TCP Query User{A70AEEED-579F-4F09-81DA-A94B87274D06}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe => Нет файла
FirewallRules: [UDP Query User{EBC08CFE-874B-4DEF-9A5C-76FCF35F0C6B}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe => Нет файла
FirewallRules: [TCP Query User{B4571EE2-A190-4BF5-A51E-D894F948D9B2}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe => Нет файла
FirewallRules: [UDP Query User{87637780-7EC9-4E2A-9A00-27A0DB6F0735}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe => Нет файла
FirewallRules: [TCP Query User{8768FB3A-C338-4F5C-A633-5FDEA216BE42}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe => Нет файла
FirewallRules: [UDP Query User{4BD54B55-D19E-48DB-96AF-C9929142202D}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe => Нет файла
FirewallRules: [TCP Query User{E9CA514C-C063-4863-9DED-BA839CAE1865}C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe] => (Allow) C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe => Нет файла
FirewallRules: [UDP Query User{54581913-902C-4CA6-BF28-244CFFCD652A}C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe] => (Allow) C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe => Нет файла
FirewallRules: [{EFAE1398-5740-4668-8731-EB41C7F211B9}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC)
FirewallRules: [TCP Query User{D1E78E6A-FD68-4F4C-BEC2-96576372998B}C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe] => (Block) C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe => Нет файла
FirewallRules: [UDP Query User{CE307372-9695-4E65-92F9-E8EDEE71E04F}C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe] => (Block) C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe => Нет файла
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

[cybase]

Fixlog.txt

Только что, thyrex сказал:

Manager2 (S-1-5-21-3019861478-2420880730-3075451242-1031 - Administrator - Enabled) => C:\Users\Manager2 -это не админ
Nat (S-1-5-21-3019861478-2420880730-3075451242-1024 - Administrator - Enabled) это не админ
System32 (S-1-5-21-3019861478-2420880730-3075451242-1050 - Administrator - Enabled) а этот пользователь создан файлами из папки дедик

 

[thyrex]

Первые два - это пользователи с правами Администратора, а пользователя System32 удалите.

 

По поводу расшифровки: похоже на GlobeImposter 2. С расшифровкой помочь не сможем.