Показано с 1 по 14 из 14.

Зашифровались файлы, [email protected] (заявка № 223645)

  1. #1
    Junior Member Репутация
    Регистрация
    21.09.2019
    Сообщений
    13
    Вес репутации
    17

    Зашифровались файлы, [email protected]

    Помогите, пожалуйста, расшифровать файлы, ценные детские и прочие фото.

    Файлы имеют имя [email protected] 1.5.1.0.id-945482517-659096137218560178461589.fname-README.txt.doubleoffset, в папках также встречается Readme.txt, внутри которого написано "to decrypt write you country to [email protected]".
    Утилитой с сайта прогнал, результат прилагаю...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) tonvlg, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    21.09.2019
    Сообщений
    13
    Вес репутации
    17
    ... Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
    Спасибо за ответ, прикладываю файлы.
    Сразу уточню, что система запущена НЕ с повреждённого вирусом диска.
    Вложения Вложения

  7. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Такие логи бесполезны. Поврежденная система не загружается?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    21.09.2019
    Сообщений
    13
    Вес репутации
    17
    В последний раз когда "голова" (жёсткий диск) не была отделена от "тела" (ноутбука), система загружалась.
    После этого в ноутбук был поставлен SSD, а снятый диск более полугода ждал своего часа и сейчас вставлен в ПК.
    Я правильно понимаю, что для расшифровки файла может помочь снятие логов, полученных именно в загруженной "заражённой" системе (для этого мне нужно будет запросить ноутбук для экспериментов)?

  10. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Делайте логи с пострадавшей машины.

    Также прикрепите в архиве к следующему сообщению несколько пострадавших файлов популярных форматов (документы Word, картинки)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    21.09.2019
    Сообщений
    13
    Вес репутации
    17
    Пишу с "той самой" машины.
    Снял новые логи и приложил несколько фоток и документов, как запросили.
    Пока готовил файлы, клал в архив, заметил как довольно быстро этот архив потерял владельца и стал недоступен для редактирования. Возможно вирус всё ещё активен... или антивирус (был установлен Avast)
    Вложения Вложения

  13. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    1. Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [1912671] => 1912671
    HKLM-x32\...\Run: [1874891] => 1874891
    HKLM-x32\...\Run: [2947820] => 2947820
    HKU\S-1-5-21-3357575175-26594627-3683303214-1002\...\Run: [945482517] => C:\Users\Андрей\AppData\Local\Temp\ADGIMNPQTV.exe <==== ATTENTION
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    Task: {050003F0-0320-43D7-8310-F17FB4DDD077} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
    Task: {11456469-37E6-457B-8C31-D717EB42773C} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
    Task: {36C68D87-CC6E-4005-B2CE-52674BB1058D} - System32\Tasks\ASP => C:\Program Files (x86)\Tuneup Pro\systweakasp.exe
    Task: {877B096B-547F-4093-8ABA-2F7E6D76CD77} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.93 Online" "1522477129152" "1367c7a2-5fbf-4a7f-84c1-5d4cf10bc561"
    Task: {877B096B-547F-4093-8ABA-2F7E6D76CD77} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
    Task: {C5032E6E-4738-4F6D-9E82-B532FFEA3881} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
    Task: C:\WINDOWS\Tasks\ParetoLogic Registration3.job => rundll32.exe  C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
    Task: C:\WINDOWS\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
    Task: C:\WINDOWS\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
    BHO-x32: No Name -> {7e6d4e3e-fc66-4036-9799-ce5c625c4c56} -> No File
    BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKU\S-1-5-21-3357575175-26594627-3683303214-1002 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    2019-02-24 14:26 - 2019-02-24 14:26 - 000000075 _____ () C:\Program Files\README.txt
    2019-02-24 14:24 - 2019-02-24 14:24 - 000000075 _____ () C:\Program Files\Common Files\README.txt
    2019-02-24 14:28 - 2019-02-24 14:28 - 000000075 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-02-24 13:11 - 2019-02-24 15:23 - 000000075 _____ () C:\Users\Андрей\AppData\Local\README.txt
    Reboot:
    End::
    2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
    3. Запустите Farbar Recovery Scan Tool.
    4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
    • Обратите внимание: будет выполнена перезагрузка компьютера.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #10
    Junior Member Репутация
    Регистрация
    21.09.2019
    Сообщений
    13
    Вес репутации
    17
    Спасибо за активное внимание к проблеме, про-fix-ил, прикрепляю файлик результата
    Вложения Вложения

  15. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Проверьте ЛС.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. Это понравилось:


  17. #12
    Junior Member Репутация
    Регистрация
    21.09.2019
    Сообщений
    13
    Вес репутации
    17
    Примерно половина файлов расшифровалась. Через ЛС получил вторую лечилку, занимаюсь

  18. #13
    Junior Member Репутация
    Регистрация
    21.09.2019
    Сообщений
    13
    Вес репутации
    17
    Ответил в ЛС по поводу ещё "недобитых" файлов… А пока нахожусь под впечатлением от уже имеющихся результатов.

    - - - - -Добавлено - - - - -

    Просмотрел и перезапустил по всем папкам ещё раз, вроде бы нет больше файлов, кроме "записок" вида email-blackdragon43***readme.txt.doubleoffset .
    С картинками, видео и файлами типа pdf вроде бы всё отлично, все doc, которые открывал, внутри кривые. Я думаю, моим близким людям не принципиально их оживлять, но готов узнать экспертное мнение можно ли и нужно ли что-то с ними пытаться делать.
    Копии их (DOC-ов) я в любом случае не делал, т.к. по фото в тестовой выборке видел, что предложенное средство 100%-но достоверно восстановило… (в копилку опыта - делать копии всегда и без условий)

  19. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Прикрепите в архиве несколько таких doc-файлов.

    Дешифратор, который Вам был предложен - оригинал от самих злодеев. Я всего лишь сбрутил ключи к Вашим файлам. Без них дешифратор был бы бесполезен.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. Это понравилось:


Похожие темы

  1. Ответов: 7
    Последнее сообщение: 28.04.2019, 15:06
  2. "Yahoo" - не получается убрать ПО "Yahoo".
    От Primacy в разделе Помогите!
    Ответов: 18
    Последнее сообщение: 13.08.2014, 00:04
  3. Ответов: 4
    Последнее сообщение: 10.01.2014, 22:00
  4. Ответов: 2
    Последнее сообщение: 10.01.2014, 19:30
  5. Ответов: 0
    Последнее сообщение: 18.12.2005, 11:02

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00898 seconds with 18 queries