• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Файлы зашифрованы с расширением .[dkey999@cock.li].bat

Статус
В этой теме нельзя размещать новые ответы.

Azelus

Новый пользователь
Сообщения
4
Реакции
0
Здравствуйте. Возможно ли расшифровать файл с таким расширением?
Во вложении прикреплены отчет от Autologger, файл вируса, 3 файла из зашифрованных, 2 записки с контактами для связи с мошенниками.
 
Здравствуйте!

Вымогатель Dharma (.cezar Family), расшифровки нет, увы.

Программу
Effector saver 3, версия 3.3.7
ставили самостоятельно? Если нет, деинсталлируйте.

Для очистки следов и мусора дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Effector saver 3 установлен для бэкапов 1С.
 

Вложения

  • Addition.txt
    35.4 KB · Просмотры: 2
  • FRST.txt
    30.4 KB · Просмотры: 2
Да, прошу прощения, спутал с адварью :)

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    2019-06-03 15:56 - 2019-06-03 15:56 - 000000188 _____ C:\Users\User3\Desktop\RETURN FILES.txt
    2019-06-03 15:56 - 2019-05-15 16:32 - 000933376 _____ (Schiewer) C:\Users\User3\Downloads\1swlynru.exe
    FirewallRules: [SLBM-MUX-IN-TCP] => (Allow) %SystemRoot%\system32\MuxSvcHost.exe No File
    Zip: c:\FRST\Quarantine\
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.
 
Пришлось файлы из архива перепаковать в 7z, иначе гугл не позволял отправить. Пароль virus.
 

Вложения

  • Fixlog.txt
    1.6 KB · Просмотры: 1
Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Лог
 

Вложения

  • SecurityCheck.txt
    5.6 KB · Просмотры: 3
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
Internet Explorer 11.2608.14393.0 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.18) - Russian v.11.0.18 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.


Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу