Здравствуйте!
Все файлы зашифрованы, к наименованиям добавлено +jabber-theone@safetyjabber.
Есть ли возможность восстановить файлы?
Printable View
Здравствуйте!
Все файлы зашифрованы, к наименованиям добавлено +jabber-theone@safetyjabber.
Есть ли возможность восстановить файлы?
Уважаемый(ая) [B]ОасупБЭМЗ[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img=https://i.imgur.com/NAAC5Ba.png] и сохраните на Рабочем столе.
[LIST][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/*][/LIST]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i] и [i]90 Days Files[/i].
[img=https://i.imgur.com/3munStB.png]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Файлы [b]FRST.txt[/b] и [b]Addition.txt[/b] заархивируйте (в [b]один общий архив[/b]) и прикрепите к сообщению.
Отчет
[QUOTE]C:\Users\Администратор.SERVERX\AppData\Roaming\Microsoft\BM2\wincore.exe
C:\Users\Администратор.SERVERX\AppData\Roaming\SiSwnd4\scvhots.exe[/QUOTE]заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.
Сделано.
SpyHunter4 удалите через Установку программ.
Пострадала только эта машина? Других пострадавших в сети машин нет?
Сами прописали в автозагрузку C:\Users\user59\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\События_очистить.cmd ?
1. Выделите следующий код:
[code]
Start::
CreateRestorePoint:
File: C:\ProgramData\AMDCC\winamd.exe
File: C:\Users\Администратор.SERVERX\xRdp.v2.1.exe
Folder: C:\Users\Администратор.SERVERX\AppData\Roaming\WindowsServices
Folder: C:\Users\Администратор.SERVERX\AppData\Roaming\SiSwnd4
Folder: C:\ProgramData\AMDCC
C:\Users\Администратор.SERVERX\AppData\Roaming\Microsoft\BM2
Folder: C:\Program Files\D4
Folder:
HKU\S-1-5-21-3061189006-2134096714-2191716962-500\...\Run: [AMDsys] => "C:\ProgramData\AMDCC\winamd.exe"
HKU\S-1-5-21-3061189006-2134096714-2191716962-500\...\Run: [IBMsys] => C:\Users\Администратор.SERVERX\AppData\Roaming\Microsoft\BM2\wincore.exe [82944 2019-02-07] () [File not signed]
HKU\S-1-5-21-3061189006-2134096714-2191716962-500\...\Run: [sheme33] => C:\Users\Администратор.SERVERX\AppData\Roaming\SiSwnd4\scvhots.exe [513024 2019-02-24] (Abcde1 Company) [File not signed]
C:\Users\Администратор.SERVERX\AppData\Roaming\Microsoft\BM2\wincore.exe
C:\Users\Администратор.SERVERX\AppData\Roaming\SiSwnd4\scvhots.exe
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [129]
2019-08-12 11:24 - 2019-08-12 11:50 - 000000000 ____D C:\Program Files\SpyHunter
2019-08-12 11:24 - 2019-08-12 11:24 - 000000733 _____ C:\Users\Public\Desktop\SpyHunter4.lnk
2019-08-12 11:24 - 2019-08-12 11:24 - 000000733 _____ C:\ProgramData\Desktop\SpyHunter4.lnk
2019-08-12 11:24 - 2019-08-12 11:24 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4
2019-08-11 12:12 - 2019-08-11 12:12 - 000000103 _____ C:\ProgramData\Microsoft\Windows\Start Menu\INSTRUCTION.txt
2019-08-11 12:11 - 2019-08-11 12:12 - 000000103 _____ C:\Users\Public\Desktop\INSTRUCTION.txt
2019-08-11 12:11 - 2019-08-11 12:12 - 000000103 _____ C:\ProgramData\Desktop\INSTRUCTION.txt
2019-08-11 12:11 - 2019-08-11 12:11 - 000000103 _____ C:\ProgramData\INSTRUCTION.txt
End::
[/code]
2. Скопируйте выделенный текст ([b]правая кнопка мыши[/b] – [b]Копировать[/b]).
3. Запустите [b]Farbar Recovery Scan Tool[/b].
4. Нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: [b]перезагрузку компьютера[/b] нужно выполнить вручную после этого скрипта.[/list]
>Пострадала только эта машина? Других пострадавших в сети машин нет?
Других пострадавших нет.
>Сами прописали в автозагрузку C:\Users\user59\AppData\Roaming\Microsoft\Windows\ Start Menu\Programs\Startup\События_очистить.cmd ?
Нет. Это было сделано очень давно, кем - неизвестно.
В данный момент я читаю форум не с пострадавшего компьютера (он не имеет доступа в Интернет). Следует ли мне скопировать текст скрипта и перенести его на пострадавший в текстовом файле?
Тогда при переносе нужно сохранить скрипт в файл fixlist.txt и поместить в папку с FRST. После этого запустить FRST.
Сделано
Подскажите пожалуйста, можем ли мы на данном этапе перенести зашифрованные файлы на другой носитель и переустановить Windows на пострадавшем компьютере, чтобы хоть как-то продолжать работу?
Переносите. Без файла с ключами, который не удается отловить во всех последних случаях, расшифровка невозможна.
Есть смысл пытаться связываться со злоумышленниками?
И да, есть несколько файлов до и после зашифровки. Они не помогут?
Не помогут. Связываться или нет со злодеями решать Вам.
Есть ли надежда, что средство расшифровки появится в будущем (иными словами, есть ли смысл хранить файлы)?
Мы бы заплатили вымогателям, но связаться с ними не удаётся.
Сомнительно, что оно появится. Повторяю еще раз - все дело в файле с ключами, который не удается отловить. Длина ключей может быть разной. А так алгоритм известен еще со времен самой первой версии.
Что из себя этот файл представляет и где он теоретически должен быть? Можно ли его как-то вручную найти?
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]2[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]8[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] \scvhots.exe - [B]HEUR:Trojan.Win32.Netrepser.gen[/B] ( BitDefend=
er: Gen:Trojan.Heur2.RP.Fq0@a0hD@Qli )[*] \wincore.exe - [B]UDS:Trojan.Win32.Generic[/B] ( BitDefender: Gen=
:Heur.PIF.1 )[/LIST][/LIST]