Перейти к содержанию

Шифровальщик с расширением EnCiPhErEd

Елена Калина

Автор Елена Калина,
в Помощь в борьбе с шифровальщиками-вымогателями

 Share Подписчики 0

Рекомендуемые сообщения

Елена Калина

Елена Калина 0

Опубликовано
Опубликовано (изменено)

Доброй ночи. Во время работы с компьютера исчез Касперский, а затем компьютер принудительно перезагрузился. После перезагрузки все файлы оказались зашифрованы.

Новая папка (3).rar FRST.txt Addition.txt

И еще вопрос: пропала папка с диска С, он мог ее удалить?

Изменено пользователем Елена Калина
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1302

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
Startup: C:\Users\79611\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2021-07-14] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2021-07-14] () [Файл не подписан]
Startup: C:\Users\LG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2021-07-14] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\WINDOWS\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\WINDOWS\Tasks\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\WINDOWS\SysWOW64\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\WINDOWS\SysWOW64\Drivers\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\WINDOWS\Minidump\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\Public\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\Public\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\Public\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\LG\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\LG\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\LG\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\LG\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\LG\AppData\Roaming\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\LG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\LG\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\defaultuser100000\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\defaultuser100000.LAPTOP-37G8C7U2\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\defaultuser100000.LAPTOP-37G8C7U2.002\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\defaultuser100000.LAPTOP-37G8C7U2.001\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\defaultuser100000.LAPTOP-37G8C7U2.000\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\Default\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\79611\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\79611\Downloads\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\79611\Documents\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\79611\Desktop\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\79611\AppData\Roaming\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\79611\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Users\79611\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\ProgramData\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\ProgramData\Microsoft\Windows\Start Menu\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2021-07-14 11:55 - 2021-07-14 11:55 - 000000138 _____ C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
AlternateDataStreams: C:\Users\79611\Desktop\справка.jpeg.EnCiPhErEd:3or4kl4x13tuuug3Byamue2s4b [85]
AlternateDataStreams: C:\Users\79611\Desktop\справка.jpeg.EnCiPhErEd:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
FirewallRules: [{925846FF-B29F-4626-97A4-86546EA5CA63}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => Нет файла
FirewallRules: [{5FB761B4-DA21-4DEA-9A9C-C1F7980B217D}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => Нет файла
FirewallRules: [{2C2B3DFB-4B9A-4BCB-836C-54307E8007D5}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => Нет файла
FirewallRules: [{8E9F5F90-4364-4E0E-AD99-056FB64CC08B}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => Нет файла
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1302

Опубликовано
Опубликовано

С расшифровкой должен помочь https://www.emsisoft.com/ransomware-decryption-tools/xorist. По ссылке имеется инструкция по применению на английском. Для расшифровки нужна пара файлов одинакового размера - зашифрованный файл и его незашифрованная копия.

Результат расшифровки сообщите в своей теме.

Ссылка на сообщение
Поделиться на другие сайты
Елена Калина

Елена Калина 0

Опубликовано
  • Автор
Опубликовано

Добрый день.После расшифровки большая часть файлов не открывается.Базы 1с повреждены.И одна супер важная папка пропала

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1302

Опубликовано
Опубликовано

Вот расшифрованные файлы из первого Вашего сообщения https://dropmefiles.com/Tzxdg

 

Примеры з

42 минуты назад, Елена Калина сказал:

После расшифровки большая часть файлов не открывается.Базы 1с повреждены

Можете прислать примеры таких файлов до попытки расшифровать? Пришлите ссылку мне в ЛС, если архив с ними не удастся прикрепить на форуме.

Ссылка на сообщение
Поделиться на другие сайты
Елена Калина

Елена Калина 0

Опубликовано
  • Автор
Опубликовано

Добрый день еще раз,все расшифровалось,спасибо. Только исчезла важная папка с базами , можно ли ее восстановить?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Baki
      Угонщик браузера d.abcweathercast.xyz и m.nearbyme.io не дает покоя
      От Baki
      Угонщик браузера d.abcweathercast.xyz и m.nearbyme.io не дает покоя что делать?? Пытался удалить даже ваш антивирус не помогает. Пишет что в безопасности но как открываешь браузер сразу выскакивает поисковая система m.nearbyme.io с результатами. Помогите пжст!
    • NoEndOutcry
      Подозрение на вирусы
      От NoEndOutcry
      Добрый день. История началась тут 
       Проблему с основным ПК мне помогли решить, и эта история навела меня на мысль что нужно проверить и ноутбук, который стал подозрительно быстро садиться, стал иногда работать в закрытом состоянии и иногда подтупливать, не смотря на конфигурацию. 
      Проверки касперским и дрвебом - нашли пару-тройку опасных файлов и удалили их. После удаления прогнал скрипт сбора логов - результат прикладываю. 
       
      CollectionLog-2022.01.19-11.05.zip
    • PULEGLOT007
      Даже после казалось бы полной очистки от вирусов, нагрузка на ЦП остаётся около 100%, а права администратора всё еще не у меня.
      От PULEGLOT007
      Провёл несколько полных сканирований компьютера с помощью Kasperksy Virus Removal Tool, первые разы он находил вирусы, но теперь не находит, а нагрузка на ЦП остается около 100%, права админа отсутствуют и не получается установить Kaspersky Security Cloud Free, выдаёт ошибку во время установки. 
      CollectionLog-2022.01.14-00.39.zip
    • stalker3972
      Обнаружил майнер у себя на компьютере Trojan:Win32/Sabsik!ml
      От stalker3972
      Здравствуйте, сегодня решил почистить компьютер, после загрузки компьютера и входа на рабочий стол сразу же прилетает уведомление об антивирусе что обнаружена угроза, мне стало интересно я захожу в подробности в угрозе и вижу что затронуто сразу несколько элементов, file: C:\ProgramData\FingerPrint\FingerPrint.exe, file: C:\Windows\System32\Tasks\fpShow_W5->(UTF-16LE), regkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{87E85DD6-D7B9-490E-90D3-38009DED5F19}, regkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\fpShow_W5, taskscheduler: C:\Windows\System32\Tasks\fpShow_W5, прочитав что такое fingerprint более известен как CSGOcalc 
      я перешел по пути где хранится вирус и удалил папку и перезагрузил компьютер, после перезагрузки компьютера меня ждал сюрприз - вирус не удаляется, он восстанавливается раз за разом, антивирус ничего сделать не смог. Пожалуйста помогите.
    • Константин141414
      [РЕШЕНО] Серия вирусов Trojan:Script/Wacatac.B!ml и прочее (всего 12 шт.)
      От Константин141414
      CollectionLog-2022.01.10-13.18.zipВирусы появились после установки на ПК стороннего софта. Ранее защитник Windows находил и не мог удалить данные файлы. Сейчас после того как я почистил папки Temp, защитник не находит их, но все же я не могу быть уверен что проблема решена, поэтому надеюсь что мне кто-нибудь подскажет решение.
×
×
  • Создать...