• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Файлы с расширением .ENC

  • Автор темы Автор темы dagmen05
  • Дата начала Дата начала
dagmen05

dagmen05

Новый пользователь
Сообщения
21
Реакции
1
У меня появились файлы с .ENC расширением, не могу их открыть. Как решить проблемку эту? Скрин и файл лога прикрепил
 

Вложения

Здравствуйте!

Тему перенёс. Прочтите и выполните эти правила, пожалуйста.
 
Файлы с требованиями злоумышленников у меня вообще нет, никаких записей о выкупе даже не было.
Всё это случилось когда я скачал одну программу.
 

Вложения

Программа xworm. Произошло всё вчера.
 
dagmen05 написал(а):
Программа xworm
Нажмите для раскрытия...
Личным сообщением отправьте ссылку откуда качали, пожалуйста.

Саму программу закачайте на www.virustotal.com и здесь приведите ссылку на результат анализа.

Очистка следов в системе:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
Startup: C:\Users\99450\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sound.lnk [2024-10-02]
ShortcutTarget: Sound.lnk -> C:\Users\Public\Sound.exe (Нет файла)
Task: {0E7018A8-7CB4-4A14-94B5-C275901BE679} - System32\Tasks\chrome => "C:\OneDriveTemp\S-1-5-21-381345494-2681927361-3437082403-1001\chrome.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {00FC4C7B-F560-4947-A95C-4A826351DF0F} - System32\Tasks\chromec => "C:\OneDriveTemp\S-1-5-21-381345494-2681927361-3437082403-1001\chrome.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {F259C001-9FE2-4A1A-AD76-6706EFF9E0CD} - System32\Tasks\conhost => "C:\Program Files\Windows Photo Viewer\ru-RU\conhost.exe"  ->  <==== ВНИМАНИЕ
Task: {67602E56-2B97-4858-A4F1-59D24DF56BD7} - System32\Tasks\conhostc => "C:\Program Files\Windows Photo Viewer\ru-RU\conhost.exe"  ->  <==== ВНИМАНИЕ
Task: {0DE0EFAE-B46E-4D11-B009-37F9236CE52D} - System32\Tasks\esrv => "C:\Intel\Logs\esrv.exe"  (Нет файла)
Task: {256D2746-82EF-4281-B467-53EF418F142B} - System32\Tasks\esrve => "C:\Intel\Logs\esrv.exe"  (Нет файла)
Task: {1D16339C-E6AB-446B-9703-86309E5906C3} - System32\Tasks\msedgewebview2 => "C:\Windows\tracing\msedgewebview2.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {E07B68C5-99E3-4C74-9F8A-D1E5F75A88EB} - System32\Tasks\msedgewebview2m => "C:\Windows\tracing\msedgewebview2.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {B647590B-3DA5-41F6-919D-1702F6405CE1} - System32\Tasks\NVDisplay.Container => "C:\Windows\assembly\NVDisplay.Container.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {56BA8267-7DBB-4A79-9AD7-924E4C082C6B} - System32\Tasks\NVDisplay.ContainerN => "C:\Windows\assembly\NVDisplay.Container.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {790EB041-9EAC-4E44-9063-31CB9DD96A5E} - System32\Tasks\SecurityHealthHost => "C:\Intel\iGfx\XeFX\SecurityHealthHost.exe"  (Нет файла)
Task: {3F67E9A0-AB54-41AA-9351-22DCA475387A} - System32\Tasks\SecurityHealthHostS => "C:\Intel\iGfx\XeFX\SecurityHealthHost.exe"  (Нет файла)
Task: {FB65F7BF-99D1-4BD8-945D-108AA03BDE6F} - System32\Tasks\SecurityHealthService => "C:\XboxGames\GameSave\wgs\SecurityHealthService.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {F54465B7-D7FC-4241-BCB1-E382AFC2698B} - System32\Tasks\SecurityHealthServiceS => "C:\XboxGames\GameSave\wgs\SecurityHealthService.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {4427458E-A2CA-4778-A3E3-1C2447A2A14D} - System32\Tasks\services => "C:\OneDriveTemp\S-1-5-21-381345494-2681927361-3437082403-1001\services.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {2475E0F9-7F9F-4229-BE87-4153992AAF12} - System32\Tasks\servicess => "C:\OneDriveTemp\S-1-5-21-381345494-2681927361-3437082403-1001\services.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {FF4016C2-5AAE-4B86-87C4-E18013EA47FA} - System32\Tasks\Sound => C:\Users\Public\Sound.exe  (Нет файла)
Task: {D2E1DEBE-F2B4-42B9-B74F-172764486748} - System32\Tasks\winlogon => "C:\GOG Games\Cossacks 3\winlogon.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {AA26D2BF-B671-4DD8-B46F-4BB67DC8D977} - System32\Tasks\winlogonw => "C:\GOG Games\Cossacks 3\winlogon.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {D714BC67-4A6E-4004-A0AD-A85E4C5E9768} - System32\Tasks\WmiPrvSE => "C:\Recovery\OEM\WmiPrvSE.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {63C03BDF-F05D-4B35-BC21-7FAF0B847717} - System32\Tasks\WmiPrvSEW => "C:\Recovery\OEM\WmiPrvSE.exe"  (Нет файла) <==== ВНИМАНИЕ
Edge StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811138"
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811138"
2024-10-02 18:18 - 2024-10-02 18:18 - 000003640 _____ C:\Windows\system32\Tasks\servicess
2024-10-02 18:18 - 2024-10-02 18:18 - 000003632 _____ C:\Windows\system32\Tasks\chromec
2024-10-02 18:18 - 2024-10-02 18:18 - 000003620 _____ C:\Windows\system32\Tasks\SecurityHealthServiceS
2024-10-02 18:18 - 2024-10-02 18:18 - 000003600 _____ C:\Windows\system32\Tasks\conhostc
2024-10-02 18:18 - 2024-10-02 18:18 - 000003598 _____ C:\Windows\system32\Tasks\NVDisplay.ContainerN
2024-10-02 18:18 - 2024-10-02 18:18 - 000003592 _____ C:\Windows\system32\Tasks\SecurityHealthHostS
2024-10-02 18:18 - 2024-10-02 18:18 - 000003576 _____ C:\Windows\system32\Tasks\msedgewebview2m
2024-10-02 18:18 - 2024-10-02 18:18 - 000003562 _____ C:\Windows\system32\Tasks\winlogonw
2024-10-02 18:18 - 2024-10-02 18:18 - 000003548 _____ C:\Windows\system32\Tasks\WmiPrvSEW
2024-10-02 18:18 - 2024-10-02 18:18 - 000003526 _____ C:\Windows\system32\Tasks\esrve
2024-10-02 18:18 - 2024-10-02 18:18 - 000003380 _____ C:\Windows\system32\Tasks\services
2024-10-02 18:18 - 2024-10-02 18:18 - 000003372 _____ C:\Windows\system32\Tasks\chrome
2024-10-02 18:18 - 2024-10-02 18:18 - 000003360 _____ C:\Windows\system32\Tasks\SecurityHealthService
2024-10-02 18:18 - 2024-10-02 18:18 - 000003340 _____ C:\Windows\system32\Tasks\NVDisplay.Container
2024-10-02 18:18 - 2024-10-02 18:18 - 000003340 _____ C:\Windows\system32\Tasks\conhost
2024-10-02 18:18 - 2024-10-02 18:18 - 000003334 _____ C:\Windows\system32\Tasks\SecurityHealthHost
2024-10-02 18:18 - 2024-10-02 18:18 - 000003318 _____ C:\Windows\system32\Tasks\msedgewebview2
2024-10-02 18:18 - 2024-10-02 18:18 - 000003304 _____ C:\Windows\system32\Tasks\winlogon
2024-10-02 18:18 - 2024-10-02 18:18 - 000003288 _____ C:\Windows\system32\Tasks\WmiPrvSE
2024-10-02 18:18 - 2024-10-02 18:18 - 000003268 _____ C:\Windows\system32\Tasks\esrv
2024-10-02 18:18 - 2024-10-02 18:18 - 000000551 _____ C:\Windows\Minidump\088424020bedd6
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
А какой пароль на архив, который вы передали?
 
Удалите лишние исключения Защитника

dagmen05 написал(а):
я скачал одну программу
Нажмите для раскрытия...
Зачем же вы её скачивали?
Вот только два коментария:
XWorm - это вредоносная программа, нацеленная на операционные системы Windows. Он известен своей скрытностью и живучестью, а также широким спектром вредоносных действий - от удаленного управления рабочим столом до вымогательства и кражи информации
Нажмите для раскрытия...

XWorm — это не просто вредоносная программа, а целый швейцарский нож для киберпреступников. Она может похищать ваши пароли, файлы, фотографии и даже загружать другие зловреды на ваш компьютер. И всё это за считанные минуты.
Нажмите для раскрытия...

Касперский определяет как HEUR:Trojan-Spy.MSIL.Stealer.gen

Словом, срочно меняйте все важные пароли, могли быть украдены. По восстановлению файлов пока неясно.
 
Ну я потом узнал что это такой вирус.

На прикрепленном фото эти процессы тоже удалить?
 

Вложения

  • 22222222222.webp
    22222222222.webp
    36.3 KB · Просмотры: 7
Да, обязательно.
 
Много файлов оказалось зашифровано? Важные среди них есть?
 
У всех зашифрованных изменения - имя_файла.расширение.enc или есть другие варианты?
С типом вымогателя (если это вымогатель) пробуем определиться. Но практика показывает, что в подавляющем большинстве случаев расшифровки без приватного ключа нет.
 
Да, все зашифрованные в таком имя_файла.расширение.enc виде
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

O
Решена без расшифровки Как расшифровать файлы с расширением LOCK2023 на Windows Server 2012?
Ответы
3
Просмотры
652
Sandor
Sandor
S
  • Закрыта
Решена без расшифровки зашифровало все файлы расширением [johnborn@cock_li]
2
Ответы
20
Просмотры
2K
Sandor
Sandor
W
  • Закрыта
Решена с расшифровкой. Зашифрованы файлы с расширением cs16
Ответы
5
Просмотры
2K
Wladimir74
W
Назад
Сверху Снизу