Зашифровались файлы, [email protected]

Printable View

21.09.2019, 14:41
tonvlg

Вложений: 1

Зашифровались файлы, [email protected]

Помогите, пожалуйста, расшифровать файлы, ценные детские и прочие фото.

Файлы имеют имя [email protected] 1.5.1.0.id-945482517-659096137218560178461589.fname-README.txt.doubleoffset, в папках также встречается Readme.txt, внутри которого написано "to decrypt write you country to [email protected]".
Утилитой с сайта прогнал, результат прилагаю...
21.09.2019, 14:42
Info_bot

Уважаемый(ая) [B]tonvlg[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
21.09.2019, 18:55
thyrex

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Файлы [b]FRST.txt[/b] и [b]Addition.txt[/b] заархивируйте (в [b]один общий архив[/b]) и прикрепите к сообщению.
22.09.2019, 23:52
tonvlg

Вложений: 1

[QUOTE]... Файлы [B]FRST.txt[/B] и [B]Addition.txt[/B] заархивируйте (в [B]один общий архив[/B]) и прикрепите к сообщению.[/QUOTE]
Спасибо за ответ, прикладываю файлы.
Сразу уточню, что система запущена НЕ с повреждённого вирусом диска.
23.09.2019, 06:41
thyrex

Такие логи бесполезны. Поврежденная система не загружается?
23.09.2019, 07:48
tonvlg

В последний раз когда "голова" (жёсткий диск) не была отделена от "тела" (ноутбука), система [B]загружалась[/B].
После этого в ноутбук был поставлен SSD, а снятый диск более полугода ждал своего часа и сейчас вставлен в ПК.
Я правильно понимаю, что для расшифровки файла может помочь снятие логов, полученных именно в загруженной "заражённой" системе (для этого мне нужно будет запросить ноутбук для экспериментов)?
24.09.2019, 06:29
thyrex

Делайте логи с пострадавшей машины.

Также прикрепите в архиве к следующему сообщению несколько пострадавших файлов популярных форматов (документы Word, картинки)
26.09.2019, 21:22
tonvlg

Вложений: 4

Пишу с "той самой" машины.
Снял новые логи и приложил несколько фоток и документов, как запросили.
Пока готовил файлы, клал в архив, заметил как довольно быстро этот архив потерял владельца и стал недоступен для редактирования. Возможно вирус всё ещё активен... или антивирус (был установлен Avast)
26.09.2019, 23:45
thyrex

1. Выделите следующий код:
[code]
Start::
CreateRestorePoint:
HKLM-x32\...\Run: [1912671] => 1912671
HKLM-x32\...\Run: [1874891] => 1874891
HKLM-x32\...\Run: [2947820] => 2947820
HKU\S-1-5-21-3357575175-26594627-3683303214-1002\...\Run: [945482517] => C:\Users\Андрей\AppData\Local\Temp\ADGIMNPQTV.exe <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
Task: {050003F0-0320-43D7-8310-F17FB4DDD077} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
Task: {11456469-37E6-457B-8C31-D717EB42773C} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: {36C68D87-CC6E-4005-B2CE-52674BB1058D} - System32\Tasks\ASP => C:\Program Files (x86)\Tuneup Pro\systweakasp.exe
Task: {877B096B-547F-4093-8ABA-2F7E6D76CD77} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.93 Online" "1522477129152" "1367c7a2-5fbf-4a7f-84c1-5d4cf10bc561"
Task: {877B096B-547F-4093-8ABA-2F7E6D76CD77} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
Task: {C5032E6E-4738-4F6D-9E82-B532FFEA3881} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\ParetoLogic Registration3.job => rundll32.exe C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
Task: C:\WINDOWS\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
BHO-x32: No Name -> {7e6d4e3e-fc66-4036-9799-ce5c625c4c56} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3357575175-26594627-3683303214-1002 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
2019-02-24 14:26 - 2019-02-24 14:26 - 000000075 _____ () C:\Program Files\README.txt
2019-02-24 14:24 - 2019-02-24 14:24 - 000000075 _____ () C:\Program Files\Common Files\README.txt
2019-02-24 14:28 - 2019-02-24 14:28 - 000000075 _____ () C:\Program Files (x86)\Common Files\README.txt
2019-02-24 13:11 - 2019-02-24 15:23 - 000000075 _____ () C:\Users\Андрей\AppData\Local\README.txt
Reboot:
End::
[/code]
2. Скопируйте выделенный текст ([b]правая кнопка мыши[/b] – [b]Копировать[/b]).
3. Запустите [b]Farbar Recovery Scan Tool[/b].
4. Нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
27.09.2019, 19:37
tonvlg

Вложений: 1

Спасибо за активное внимание к проблеме, про-fix-ил, прикрепляю файлик результата
28.09.2019, 14:35
thyrex

Проверьте ЛС.
29.09.2019, 10:37
tonvlg

Примерно половина файлов расшифровалась. Через ЛС получил вторую лечилку, занимаюсь
30.09.2019, 02:43
tonvlg

Ответил в ЛС по поводу ещё "недобитых" файлов… А пока нахожусь под впечатлением от уже имеющихся результатов.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Просмотрел и перезапустил по всем папкам ещё раз, вроде бы нет больше файлов, кроме "записок" вида email-blackdragon43***readme.txt[FONT=Verdana,Arial,Tahoma,Calibri,Geneva,sans-serif].doubleoffset .
С картинками, видео и файлами типа pdf вроде бы всё отлично, все doc, которые открывал, внутри кривые. Я думаю, моим близким людям не принципиально их оживлять, но готов узнать экспертное мнение можно ли и нужно ли что-то с ними пытаться делать.
Копии их (DOC-ов) я в любом случае не делал, т.к. по фото в тестовой выборке видел, что предложенное средство 100%-но достоверно восстановило… (в копилку опыта - делать копии всегда и без условий)
[/FONT]
30.09.2019, 06:50
thyrex

Прикрепите в архиве несколько таких doc-файлов.

Дешифратор, который Вам был предложен - оригинал от самих злодеев. Я всего лишь сбрутил ключи к Вашим файлам. Без них дешифратор был бы бесполезен.