Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Encoder зашифровал файлы

КЦСОН
 Share Подписчики 1

Рекомендуемые сообщения

КЦСОН

КЦСОН 0

Опубликовано
Опубликовано

Здравствуйте! Trojan-Ransom.Win32.Cryakl.gen зашифровал файлы, просим помочь. Прикреплен архив с зашифрованным файлом и how_to_decrypt

01230.zip

 

Сообщение от модератора thyrex
Перенесено из темы

 

Ссылка на сообщение
Поделиться на другие сайты
КЦСОН

КЦСОН 0

Опубликовано
  • Автор
Опубликовано

Здравствуйте! Вчера шифровальщик зашифровал все файлы, логи сделаны.

Логи и др.zip

Сообщение от модератора thyrex
Темы объединены

 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано
5 часов назад, thyrex сказал:

Расшифровки данной версии нет.

 

Чистка мусора в системе нужна или система под переустановку?

 

Ссылка на сообщение
Поделиться на другие сайты
КЦСОН

КЦСОН 0

Опубликовано
  • Автор
Опубликовано (изменено)
18 часов назад, thyrex сказал:

Чистка мусора в системе нужна или система под переустановку?

Чистка от мусора нужна

Изменено пользователем КЦСОН
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано
Цитата

Администратор (S-1-5-21-3684288745-1829657141-1425081812-500 - Administrator - Enabled) => C:\Users\Администратор

если это встроенный Администратор, то зачем он до сих пор включен, да еще и с повышенными правами...

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-21-3684288745-1829657141-1425081812-1000\...\Run: [D363D052-45308F72hta] => c:\users\san\appdata\local\temp\how_to_decrypt.hta [6035 2021-08-16] () [Файл не подписан] <==== ВНИМАНИЕ
2021-08-16 16:02 - 2021-08-16 16:02 - 000006035 _____ C:\Users\Гость\how_to_decrypt.hta
2021-08-16 16:02 - 2021-08-16 16:02 - 000006035 _____ C:\Users\Гость\Downloads\how_to_decrypt.hta
2021-08-16 16:02 - 2021-08-16 16:02 - 000006035 _____ C:\Users\Гость\Documents\how_to_decrypt.hta
2021-08-16 16:02 - 2021-08-16 16:02 - 000006035 _____ C:\Users\Гость\Desktop\how_to_decrypt.hta
2021-08-16 16:02 - 2021-08-16 16:02 - 000006035 _____ C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-08-16 16:02 - 2021-08-16 16:02 - 000006035 _____ C:\Users\Гость\AppData\Roaming\how_to_decrypt.hta
2021-08-16 16:02 - 2021-08-16 16:02 - 000006035 _____ C:\Users\Гость\AppData\LocalLow\how_to_decrypt.hta
2021-08-16 16:02 - 2021-08-16 16:02 - 000006035 _____ C:\Users\Гость\AppData\Local\Temp\how_to_decrypt.hta
2021-08-16 16:02 - 2021-08-16 16:02 - 000006035 _____ C:\Users\Гость\AppData\how_to_decrypt.hta
2021-08-16 16:02 - 2021-08-16 16:02 - 000006035 _____ C:\Users\Администратор\how_to_decrypt.hta
2021-08-16 16:02 - 2021-08-16 16:02 - 000006035 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
2021-08-16 16:02 - 2021-08-16 16:02 - 000006035 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
2021-08-16 16:02 - 2021-08-16 16:02 - 000006035 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
2021-08-16 16:02 - 2021-08-16 16:02 - 000006035 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-08-16 16:02 - 2021-08-16 16:02 - 000006035 _____ C:\how_to_decrypt.hta
2021-08-16 16:01 - 2021-08-16 16:01 - 000006035 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
2021-08-16 16:01 - 2021-08-16 16:01 - 000006035 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
2021-08-16 16:01 - 2021-08-16 16:01 - 000006035 _____ C:\Users\Администратор\AppData\Local\Temp\how_to_decrypt.hta
2021-08-16 16:01 - 2021-08-16 16:01 - 000006035 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
2021-08-16 16:01 - 2021-08-16 16:01 - 000006035 _____ C:\Users\san\how_to_decrypt.hta
2021-08-16 16:01 - 2021-08-16 16:01 - 000006035 _____ C:\Users\san\Downloads\how_to_decrypt.hta
2021-08-16 16:01 - 2021-08-16 16:01 - 000006035 _____ C:\Users\san\Documents\how_to_decrypt.hta
2021-08-16 16:01 - 2021-08-16 16:01 - 000006035 _____ C:\Users\san\Desktop\how_to_decrypt.hta
2021-08-16 16:01 - 2021-08-16 16:01 - 000006035 _____ C:\Users\san\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-08-16 16:01 - 2021-08-16 16:01 - 000006035 _____ C:\Users\san\AppData\Roaming\how_to_decrypt.hta
2021-08-16 16:01 - 2021-08-16 16:01 - 000006035 _____ C:\Users\san\AppData\LocalLow\how_to_decrypt.hta
2021-08-16 16:01 - 2021-08-16 16:01 - 000006035 _____ C:\Users\san\AppData\how_to_decrypt.hta
2021-08-16 16:01 - 2021-08-16 16:01 - 000006035 _____ C:\Users\Public\how_to_decrypt.hta
2021-08-16 16:01 - 2021-08-16 16:01 - 000006035 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-08-16 16:00 - 2021-08-16 16:00 - 000006035 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-08-16 16:00 - 2021-08-16 16:00 - 000006035 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2021-08-16 16:00 - 2021-08-16 16:00 - 000006035 _____ C:\Users\how_to_decrypt.hta
2021-08-16 16:00 - 2021-08-16 16:00 - 000006035 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-08-16 16:00 - 2021-08-16 16:00 - 000006035 _____ C:\ProgramData\how_to_decrypt.hta
2021-08-16 14:38 - 2021-08-16 14:38 - 000006035 _____ C:\Users\san\AppData\Local\Temp\how_to_decrypt.hta
2021-08-16 14:37 - 2021-08-16 16:01 - 000452033 _____ C:\Users\san\Desktop\ClearLock.exe[honestandhope@qq.com].[D363D052-45308F72]
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на сообщение
Поделиться на другие сайты
  • 2 months later...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • DimonD
      [РАСШИФРОВАНО] Поймали шифровальщик
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • iLuminate
      Подозрение на взлом сервера
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
    • JhonD
      шифровальщик Jami_decryptionguy
      От JhonD
      Добрый день, посмотрите, есть ли надежда на восстановление файлов. 
      Addition.txt CONTACT_US.txt FRST.txt АКТ на списание ГСМ.DOCX
×
×
  • Создать...