Вирус-шифровальщик зашифровал файлы на ПК. Возможна ли расшифровка?

**Gilbert888** · 23.11.2022, 15:18

Здравствуйте!
Вирус-шифровальщик зашифровал файлы на ПК. Возможна ли расшифровка?
Файлы выглядят так GILV_TPC_G1C_83.dt.t4c2ewdqca
Батники, xml и еще некоторые виды документов не тронуты

Вот сообщение

Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать!
Мы все расшифруем и вернем на свои места.

Ваш идентификатор (ID)

Скрыл...

Для расшифровки данных:

Напишите на почту - [email protected]

*В письме указать Ваш личный идентификатор Скрытый
*Прикрепите 2 файла до 2 мб для тестовой расшифровки.
мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.

-Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
-Написав нам на почту вы получите дальнейшие инструкции по оплате.

В ответном письме Вы получите программу для расшифровки.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.

Мы гарантируем:
100% успешное восстановление всех ваших файлов
100% гарантию соответствия
100% безопасный и надежный сервис
Внимание!
* Не пытайтесь удалить программу или запускать антивирусные средства
* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
* Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 23.11.2022, 15:20

Уважаемый(ая) Gilbert888, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Sandor** · 24.11.2022, 10:05

Здравствуйте!

Сам файл записки с требованием выкупа и 2-3 зашифрованных документа упакуйте в архив и прикрепите к следующему сообщению.

**Gilbert888** · 24.11.2022, 11:11

Прикрепил

**Sandor** · 24.11.2022, 16:37

Вы собирали логи через терминальное подключение, хоть и Автологер вас об этом предупреждал.

Пока мы пытаемся определить тип вымогателя, соберите непосредственно на самом компьютере такие логи:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

- - - - -Добавлено - - - - -

Логи FRST по-прежнему желательны.

Тип вымогателя - N3ww4v3.
Расшифровки нет. Известно, что вымогатели после получения выкупа расшифровывают. Хоть мы не рекомендуем платить. Тем самым вы их стимулируете на дальнейшую преступную деятельность.

**Gilbert888** · 24.11.2022, 17:31

Спасибо за информацию.
Файлы приложил.

**Sandor** · 25.11.2022, 09:42

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
R3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2020-01-15] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
HKU\S-1-5-21-1976506785-828494600-2538605726-1025\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
IE trusted site: HKU\.DEFAULT\...\localhost -> localhost
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-1976506785-828494600-2538605726-1025\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-1976506785-828494600-2538605726-1025\...\webcompanion.com -> hxxp://webcompanion.com
FirewallRules: [{F1D60F73-0F7E-4F9F-98FE-54839761D036}] => (Allow) LPort=3389
FirewallRules: [{42C8DCF9-1CD1-4180-B86F-B8165828E445}] => (Allow) LPort=3305
FirewallRules: [TCP Query User{325178B5-6DC1-4E89-A42E-2C919B98CE60}D:\nanominer-windows-3.3.7\nanominer.exe] => (Allow) D:\nanominer-windows-3.3.7\nanominer.exe => Нет файла
FirewallRules: [UDP Query User{CAC421EB-16AF-4A98-AD3E-5357F4DC6028}D:\nanominer-windows-3.3.7\nanominer.exe] => (Allow) D:\nanominer-windows-3.3.7\nanominer.exe => Нет файла
FirewallRules: [{2CD9AFC6-3B6F-492E-A88D-0019D9A5CE25}] => (Block) D:\nanominer-windows-3.3.7\nanominer.exe => Нет файла
FirewallRules: [{8600BAB4-2365-4F3E-8B23-86441D030A62}] => (Block) D:\nanominer-windows-3.3.7\nanominer.exe => Нет файла
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

**Gilbert888** · 25.11.2022, 16:07

Выполнил. Файл прикрепил

**Sandor** · 28.11.2022, 09:59

В завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

**Gilbert888** · 28.11.2022, 14:26

Добрый день. Прикрепил

**Sandor** · 28.11.2022, 15:05

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
--------------------------- [ OtherUtilities ] ----------------------------
FileZilla Client 3.48.1 v.3.48.1 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.80 (64-разрядная) v.5.80.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.

Смените пароли на админские учётки, если нужно подключение по RDP, прячьте его за VPN.

Вирус-шифровальщик зашифровал файлы на ПК. Возможна ли расшифровка? (заявка № 227896)

Опции темы