В работе Помогите пожалуйста расшифровать - ФРЕШ

[kekovk]

Доброго всем дня!
проблема обнаружилась утром,

• зашифрован один ПК (файловый сервер 1С) и две шары с двух других ПК
• пропал логический диск D (файлы БД, архивы)

файл шифровальщик мной не найден, да и не знаю куда копать
откуда прилетело не известно, также был открыт протокол РДП
ждем вашего содействия, профессиональной помощи.
в вложении файлы...

 

[Sandor]

Здравствуйте!

Пока пишу скрипт очистки поищите пару - зашифрованный и его не зашифрованный оригинал. Ищите на других ПК, в почте, на флешках и т.п.

 

[Sandor]

Этот файл:

C:\Users\User\AppData\Local\Temp\KT7MSQ4GlY5489U.exe

аккуратно упакуйте в архив с паролем, залейте на облако (или файлообменник) и ссылку на скачивание дайте личным сообщением.

p.s.
Это вы сегодня пытались войти под ником Gadzhi?

 

[Sandor]

Деинсталлируйте нежелательное ПО:

MediaGet
Web Components
Кнопки сервисов Яндекса на панели задач

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM-x32\...\Run: [Alcmeter] => C:\Users\User\AppData\Local\Temp\KT7MSQ4GlY5489U.exe [7168 2020-12-03] () [Файл не подписан] <==== ВНИМАНИЕ
  HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
  IFEO\EOSNOTIFY.EXE: [Debugger] *
  IFEO\InstallAgent.exe: [Debugger] *
  IFEO\MusNotification.exe: [Debugger] *
  IFEO\MUSNOTIFICATIONUX.EXE: [Debugger] *
  IFEO\remsh.exe: [Debugger] *
  IFEO\SIHClient.exe: [Debugger] *
  IFEO\UpdateAssistant.exe: [Debugger] *
  IFEO\UPFC.EXE: [Debugger] *
  IFEO\UsoClient.exe: [Debugger] *
  IFEO\WaaSMedic.exe: [Debugger] *
  IFEO\WaasMedicAgent.exe: [Debugger] *
  IFEO\Windows10Upgrade.exe: [Debugger] *
  IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2020-12-03] () [Файл не подписан]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2020-12-03] () [Файл не подписан]
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  CHR HKU\S-1-5-21-3821408886-3680823339-1175173358-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  S3 cpuz152; \??\C:\Windows\temp\cpuz152\cpuz152_x64.sys [X] <==== ВНИМАНИЕ
  2020-12-04 02:45 - 2020-12-04 02:45 - 000000210 _____ () C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
  2020-12-04 02:45 - 2020-12-04 02:45 - 000000210 _____ () C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
  2020-12-04 02:45 - 2020-12-04 02:45 - 000000210 _____ () C:\Users\User\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
  FirewallRules: [{2F9A1D2B-4760-4566-9F10-4337BF3DE575}] => (Allow) LPort=3389
  FirewallRules: [{ECFF1172-36B9-4B86-B772-F76F0A3B2C5A}] => (Allow) LPort=21
  FirewallRules: [{D014A1CF-3533-4AC7-BB98-086D0536C77E}] => (Allow) LPort=475
  FirewallRules: [{5AD7B916-FA36-4843-B630-1AD83842213F}] => (Allow) LPort=475
  FirewallRules: [{2F4C9931-4CB9-4CF0-AD48-638CF8F363FA}] => (Allow) LPort=5130
  FirewallRules: [{301DF6E1-A4AF-480D-A849-827394E4AB09}] => (Allow) LPort=3389
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[kekovk]

Этот файл:

аккуратно упакуйте в архив с паролем, залейте на облако (или файлообменник) и ссылку на скачивание дайте личным сообщением.

p.s.
Это вы сегодня пытались войти под ником Gadzhi?

да, это был я, но так как мене не верифицировали зашел под ником друга

 

[Sandor]

Ясно, продолжайте.