• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Нужна помощь в расшифровке

Статус
В этой теме нельзя размещать новые ответы.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Вложения

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    CHR HKU\S-1-5-21-1055126058-2625621225-1404315571-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    HKU\S-1-5-21-1055126058-2625621225-1404315571-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.search.ask.com/?tpid=ORJ-ST-SPE&o=APN11461&pf=V7&trgb=IE&p2=%5EBE7%5EOSJ000%5EYY%5EUA&gct=hp&apn_ptnrs=BE7&apn_dtid=%5EOSJ000%5EYY%5EUA&apn_dbr=ie_11.0.9600.16521&apn_uid=6F72FBB6-69DE-4367-B246-CCDFE9CA5506&itbv=12.23.0.16&doi=2015-01-21&psv=&pt=tb
    FF user.js: detected! => C:\Users\OKSANA\AppData\Roaming\Mozilla\Firefox\Profiles\myuhn6ue.default-1465470358381\user.js [2016-06-09]
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\OKSANA\AppData\Roaming\Mozilla\Firefox\Profiles\myuhn6ue.default-1465470358381\Extensions\homepage@mail.ru.xpi [2018-03-02]
    FF Extension: (Поиск Mail.Ru) - C:\Users\OKSANA\AppData\Roaming\Mozilla\Firefox\Profiles\myuhn6ue.default-1465470358381\Extensions\search@mail.ru.xpi [2018-03-02]
    FF Extension: (Пульт) - C:\Users\OKSANA\AppData\Roaming\Mozilla\Firefox\Profiles\myuhn6ue.default-1465470358381\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-03-02]
    CHR HomePage: Default -> inline.go.mail.ru
    2011-08-03 07:40 - 2011-08-03 07:40 - 000000192 _____ () C:\Program Files (x86)\READ ME FOR DECRYPT.txt
    2011-08-03 07:40 - 2011-08-03 07:40 - 000000192 _____ () C:\Users\OKSANA\AppData\Roaming\READ ME FOR DECRYPT.txt
    2011-08-03 07:40 - 2011-08-03 07:40 - 000000192 _____ () C:\Users\OKSANA\AppData\Local\READ ME FOR DECRYPT.txt
    AlternateDataStreams: C:\Users\OKSANA:id [32]
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    CHR HKU\S-1-5-21-1055126058-2625621225-1404315571-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    HKU\S-1-5-21-1055126058-2625621225-1404315571-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.search.ask.com/?tpid=ORJ-ST-SPE&o=APN11461&pf=V7&trgb=IE&p2=%5EBE7%5EOSJ000%5EYY%5EUA&gct=hp&apn_ptnrs=BE7&apn_dtid=%5EOSJ000%5EYY%5EUA&apn_dbr=ie_11.0.9600.16521&apn_uid=6F72FBB6-69DE-4367-B246-CCDFE9CA5506&itbv=12.23.0.16&doi=2015-01-21&psv=&pt=tb
    FF user.js: detected! => C:\Users\OKSANA\AppData\Roaming\Mozilla\Firefox\Profiles\myuhn6ue.default-1465470358381\user.js [2016-06-09]
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\OKSANA\AppData\Roaming\Mozilla\Firefox\Profiles\myuhn6ue.default-1465470358381\Extensions\homepage@mail.ru.xpi [2018-03-02]
    FF Extension: (Поиск Mail.Ru) - C:\Users\OKSANA\AppData\Roaming\Mozilla\Firefox\Profiles\myuhn6ue.default-1465470358381\Extensions\search@mail.ru.xpi [2018-03-02]
    FF Extension: (Пульт) - C:\Users\OKSANA\AppData\Roaming\Mozilla\Firefox\Profiles\myuhn6ue.default-1465470358381\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-03-02]
    CHR HomePage: Default -> inline.go.mail.ru
    2011-08-03 07:40 - 2011-08-03 07:40 - 000000192 _____ () C:\Program Files (x86)\READ ME FOR DECRYPT.txt
    2011-08-03 07:40 - 2011-08-03 07:40 - 000000192 _____ () C:\Users\OKSANA\AppData\Roaming\READ ME FOR DECRYPT.txt
    2011-08-03 07:40 - 2011-08-03 07:40 - 000000192 _____ () C:\Users\OKSANA\AppData\Local\READ ME FOR DECRYPT.txt
    AlternateDataStreams: C:\Users\OKSANA:id [32]
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Вложения

Используйте пару файлов из архива и утилиту Emsisoft Decrypter for Xorist для нахождения ключа (будет найден при 74,14%) и последующей расшифровки
 

Вложения

  • 00.rar
    00.rar
    65.2 KB · Просмотры: 5
Используйте пару файлов из архива и утилиту Emsisoft Decrypter for Xorist для нахождения ключа (будет найден при 74,14%) и последующей расшифровки
расшифровалась база 1 с, спасибо, а как избавиться от мусора
READ ME FOR DECRYPT.txt почти в каждой папке
и файлов с расширение .сry?
 
Можете лишние файлы удалить вручную (через поиск), если, конечно, в них больше ничего полезного нет.

В завершение все утилиты лечения и папки, включая C:\FRST, можно просто удалить.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Способы нелегальной активации на этом форуме не обсуждаем, запрещено правилами.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу