Помогите в расшифровке файлов с расширением [email protected]

[Mayer48]

нужна помощь с расшифровкой файла
в организации коллега принес вирус шифровальщик на компьютер и зашифровал все данные на компьютере коллеги и все файлы в сетевом окружении на файловом сервере подскажите есть ли возможность расшифровать ?

Вирус шифровальщик вылечили при помощи Hitman Pro 3.8 и прогнали ещё компьютер через kaspersky premium , но на файлы не смогли найти дешифратор через крипто шериф , пример сообщения вымогателя и файлы прикрепил ниже


Hi!
All your files are encrypted!
Your decryption ID: Dodq1SHAy5je5-XBvM6bz8RaQARutHnfx_WMxuO_d34*.systemofadown@cyber fear.com
We will solve your problem but you need to pay to get your files back
Write us [email protected]

[Info_bot]

Уважаемый(ая) Mayer48, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Sandor]

Здравствуйте!

Дополнительно:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

пример сообщения вымогателя

Сам не переименованный файл с требованием выкупа прикрепите, пожалуйста.

[Mayer48]

Направляю логи после сканирования программами Farbar Recovery Scan Tool и AutoLogger , сообщение с выкупом открывалось при попытке открыть любой зашифрованный файл на зараженном компьютере, так как компьютер вылечили нет возможности открыть это сообщение вновь, все логи прикрепил ниже

[Sandor]

Речь идёт об одном из таких файлов:

C:\DECRYPTION_README.txt

Прикрепите его к следующему сообщению.

Сразу скажу, что расшифровки скорее всего нет без приватного ключа.

[Mayer48]

приватный ключ вы про этот говорите ? Your decryption ID: Dodq1SHAy5je5-XBvM6bz8RaQARutHnfx_WMxuO_d34*.systemofadown@cyber fear.com

[Sandor]

Прикрепите его к следующему сообщению.

Не прикрепили.

вы про этот говорите ?

Нет, это ваш идентификатор, а не ключ.

[Mayer48]

Нашел этот файл и прикрепил

[Sandor]

Это вариант N3ww4v3, Mimic.
К сожалению, как и предполагалось, расшифровки этого типа вымогателя нет.

По очистке системы выполните следующее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  CloseProcesses:
  CreateRestorePoint:
  HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
  HKU\S-1-5-21-1860207469-4192019855-1479170347-1000\...\MountPoints2: {1c5c5a8b-03cd-11f1-b035-bcaec5d9047c} - "D:\HonorSuiteOnlineInstaller.exe" 
  HKU\S-1-5-21-1860207469-4192019855-1479170347-1000\...\MountPoints2: {1c5c5c51-03cd-11f1-b035-bcaec5d9047c} - "D:\HonorSuiteOnlineInstaller.exe" 
  HKU\S-1-5-21-1860207469-4192019855-1479170347-500\...\MountPoints2: {1c5c5a8b-03cd-11f1-b035-bcaec5d9047c} - "D:\HonorSuiteOnlineInstaller.exe" 
  HKU\S-1-5-21-1860207469-4192019855-1479170347-500\...\MountPoints2: {1c5c5c51-03cd-11f1-b035-bcaec5d9047c} - "D:\HonorSuiteOnlineInstaller.exe" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {22A7EC4E-6BAA-4E6C-B698-8B76CD5F115D} - System32\Tasks\RDPWUpdater => "C:\Program Files\RDP Wrapper\RDPWInst.exe"  -w (Нет файла)
  2026-02-11 19:44 - 2026-02-11 23:56 - 000000000 ____D C:\Users\admin\AppData\Roaming\Process Hacker 2
  2026-02-11 15:08 - 2026-02-11 23:56 - 000000240 _____ C:\Users\admin\AppData\Local\DECRYPTION_README.txt
  2026-02-11 15:08 - 2026-02-11 15:08 - 000000240 _____ C:\DECRYPTION_README.txt
  2026-02-07 12:05 - 2026-02-12 08:13 - 000000000 ____D C:\Program Files\RDP Wrapper
  2026-02-07 12:05 - 2026-02-07 12:05 - 000003336 _____ C:\Windows\system32\Tasks\RDPWUpdater
  2026-02-07 12:05 - 2026-02-07 12:05 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
  HKU\S-1-5-21-1860207469-4192019855-1479170347-1000\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
  FirewallRules: [{4B87F0AC-4396-47EC-A1E0-DA44D37FBAD2}] => (Allow) LPort=3389
  FirewallRules: [{C016E1E9-CCAB-4603-A271-E685991F3C0E}] => (Allow) LPort=3389
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[Mayer48]

Подскажите может на платной основе есть те кто смогут расшифровать данные? , очистку системы выполню, но очень важно узнать где нибудь смогут расшифровать данные а то платить вымогателям нет смысла как понимаю

[Sandor]

Будьте осторожны. В сети много ресурсов, предлагающих за деньги расшифровать, но как правило это посредники вымогателей. И берут дороже.
Отправлю личное сообщение.