нужна помощь

[antonio05050]

Здравствуйте, Есть ли возможность расшифровать файлы такого типа -7C7E0E43.[[email protected]].? У меня есть программа-вирус которая зашифровала файлы. Есть некоторые файлы копии не зашифрованные.

[Info_bot]

Уважаемый(ая) antonio05050, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

С расшифровкой помочь не сможем.


HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O4 - Startup other users: C:\Users\Наталья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Shrake.bat    ->    (PE EXE)
O4 - Startup other users: C:\Users\Наталья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[antonio05050]

Здравствуйте,все сделал как вы сказали..

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  Start::
  CreateRestorePoint:
  CHR StartupUrls: Default -> "hxxp://nigma.ru/","hxxp://www.delta-homes.com/?type=hp&ts=1432871280&z=9e035d0035bd29b36fc2143g7zccfo8b0mfg3obb5e&from=wpm05293&uid=HitachiXHTS547575A9E384_J2141054KE0SAAKE0SAAX","hxxp://mail.ru/cnt/10445?gp=812204","hxxp://go.mail.ru/?chverfix=1&fr=chverfix_sg"
  File: C:\ProgramData\cm-lock
  2019-05-10 17:44 - 2019-05-10 17:44 - 000000176 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
  Folder: C:\ProgramData\NLBrute 1.2 x64 & VPN - KeyGen
  FirewallRules: [{799E08ED-080B-41FA-95A3-CBDC131B6B97}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (19).exe No File
  FirewallRules: [{70F44DAF-D571-4975-9AA1-02953DC3989D}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (19).exe No File
  FirewallRules: [{FD4A30F3-69B6-45D4-9698-7A315C77F199}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (19).exe No File
  FirewallRules: [{489F5999-71AE-4027-B4EF-C9C25CBFC58F}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (19).exe No File
  FirewallRules: [{1FD26A1C-EB74-4B82-8C1F-BE4B692EA278}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (19).exe No File
  FirewallRules: [{96987F0F-01D0-4E4A-8C0E-7BB9623292EC}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (19).exe No File
  FirewallRules: [{D6F30840-EBCC-422C-A8F2-4F425CC9E432}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (1).exe No File
  FirewallRules: [{56E80A83-2B9F-405C-85D2-CCB5A201FCEB}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (1).exe No File
  FirewallRules: [{FC3696F2-1A49-48BD-8BDC-3D5FCFE58AC0}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (1).exe No File
  FirewallRules: [{7C39F3BD-8EFD-4AB6-9DDA-DDD4AA643D85}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (1).exe No File
  FirewallRules: [{7A7F5D5F-ED3E-4597-A25D-C561BC0CAFA1}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (1).exe No File
  FirewallRules: [{5D75F7F5-53D5-4765-BD46-13A4F4F89D50}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (1).exe No File
  FirewallRules: [{FC852DDE-4142-4CA2-B5F1-DFFFA9B8C63E}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (8).exe No File
  FirewallRules: [{92CE353C-6D5E-4FFF-8A58-614EDFC81FF3}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (8).exe No File
  FirewallRules: [{9FD5EA00-9F78-4993-9817-4BDCDD8C050A}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (8).exe No File
  FirewallRules: [{30D10E60-734F-407F-B895-FEE99D66DE78}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (8).exe No File
  FirewallRules: [{A6D8CFF7-6A4F-49A1-8FB7-B5AE32C2DC4D}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (8).exe No File
  FirewallRules: [{03541949-72CD-4491-A43F-6C1CC18EB3E5}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (8).exe No File
  FirewallRules: [{E881A65D-F00F-4BB7-9599-1FE3FEE8E014}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (10).exe No File
  FirewallRules: [{91F32144-B6AC-4A09-A560-BD282F5C7706}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (10).exe No File
  FirewallRules: [{7797B25E-FD5E-4FBD-A250-E828C69431FE}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (10).exe No File
  FirewallRules: [{D99F3DCB-E5BA-4DEA-BC66-E8EC0713FFEA}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (10).exe No File
  FirewallRules: [{BB1B0B33-7F09-42F6-8E01-F93133EF9FD9}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (10).exe No File
  FirewallRules: [{D06A1A76-B60E-42AD-BE01-C9F9249C04F0}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk (10).exe No File
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что сервер возможно будет перезагружен.

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

P.S. Самостоятельно ничего не удаляйте в случае нахождение угрозы.

[antonio05050]

1; лог-файл *(Fixlog.txt)*
2;log.txt TDSSKiller.-версия 3.2.0.28, дата запуска 13.05.2019. Время 15;06.

[SQ]

Знакома ли Вам?

Код:

C:\ProgramData\NLBrute 1.2 x64 & VPN - KeyGen

Касаемо расшифровки попробйте обратиться в антивирусные лаборатории (например: Kasperskylab, Dr.Web)

[antonio05050]

Нет,не знакома.Дата изменения папки,совпадает с датой шифровки..

- - - - -Добавлено - - - - -

ответ от Dr.Web
Информация;
Здравствуйте.

Зашифровано одним из вариантов Trojan.Encoder.3953 v4+

К сожалению, расшифровка нашими силами невозможна.

Восстановление данных - только из резервных копий, если велось резервное копирование.

Если мы когда-нибудь всё-же получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы вам сообщим.

- - - - -Добавлено - - - - -

ответ от Kasperskylab
Зашифрованные файлы имеют вид: <Имя файла>.[[email protected]].adobe

Помогите пожалуйста .
Отправлено Сегодня, 14:34
ответ;
К сожалению, расшифровки нет. Будет только зачистка следов и мусора.
Ярлыки запуска программ придётся пересоздать вручную.

[SQ]

Удалите тогда эту папку, если Вам не известна она, так и другие файлы.

Код:

C:\ProgramData\NLBrute 1.2 x64 & VPN - KeyGen
2019-05-10 17:44 - 2019-05-10 17:44 - 000013928 _____ C:\Users\Наталья\AppData\Roaming\Info.hta

Эти файлы также неизвестны? Похоже на файлы отчетов по взломанным серверам. Похоже с вашего сервера пытались взломать и другие сервера.

Код:

2019-04-30 18:37 - 2019-05-01 08:24 - 000000650 _____ C:\Users\Все пользователи\good.txt
2019-04-30 18:37 - 2019-05-01 08:24 - 000000650 _____ C:\ProgramData\good.txt
2019-04-30 18:32 - 2019-04-30 18:13 - 002529643 _____ C:\Users\Все пользователи\IPsru (15).txt
2019-04-30 18:32 - 2019-04-30 18:13 - 002529643 _____ C:\ProgramData\IPsru (15).txt
2019-04-30 14:32 - 2019-05-01 10:19 - 001834948 _____ C:\Users\Все пользователи\servers.txt
2019-04-30 14:32 - 2019-05-01 10:19 - 001834948 _____ C:\ProgramData\servers.txt
2019-04-30 14:32 - 2019-05-01 10:19 - 000000661 _____ C:\Users\Все пользователи\settings.ini
2019-04-30 14:32 - 2019-05-01 10:19 - 000000661 _____ C:\ProgramData\settings.ini
2019-04-30 14:32 - 2019-04-30 18:33 - 000027734 _____ C:\Users\Все пользователи\credentials.txt
2019-04-30 14:32 - 2019-04-30 18:33 - 000027734 _____ C:\ProgramData\credentials.txt
2019-04-30 14:31 - 2019-03-07 09:59 - 000000772 _____ C:\Users\Все пользователи\best_user-spaces_ru.txt
2019-04-30 14:31 - 2019-03-07 09:59 - 000000772 _____ C:\ProgramData\best_user-spaces_ru.txt
2019-04-30 14:31 - 2017-01-12 14:12 - 000000109 _____ C:\Users\Все пользователи\best_password-spaces_ru.txt
2019-04-30 14:31 - 2017-01-12 14:12 - 000000109 _____ C:\ProgramData\best_password-spaces_ru.txt
2019-04-30 14:30 - 2019-04-30 03:43 - 000107610 _____ C:\Users\Все пользователи\IPskz2 (2).txt
2019-04-30 14:30 - 2019-04-30 03:43 - 000107610 _____ C:\ProgramData\IPskz2 (2).txt
2019-04-20 22:54 - 2019-04-30 14:31 - 000000000 ____D C:\Users\Все пользователи\NLBrute 1.2 x64 & VPN - KeyGen
2019-04-20 22:54 - 2019-04-30 14:31 - 000000000 ____D C:\ProgramData\NLBrute 1.2 x64 & VPN - KeyGen

[antonio05050]

Нет,не известны.Удалил все!

[SQ]

На этом все, если будут какие-то новости по указанному шифровальщику, вам напишу. На данный момент к сожалению обрадовать нечем.

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 2
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 71
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
  =E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
  =E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB