Закрыто Помогите расшифровать файлы [restore1_helper@gmx.de]

[dy111]

Здравствуйте!

Шифровальщик поразил файлы на серверах, в том числе базы MsSQL, данные в приложении. Помогите решить вопрос с расшифровкой, пожалуйста.

 

[Sandor]

Здравствуйте!

К сожалению, расшифровки этой версии вымогателя нет.

в том числе базы MsSQL

Обратитесь по адресу, указанному в этой теме.

Следы вымогателя видны в логах. Помощь в их очистке нужна?

 

[dy111]

Здравствуйте, подскажите где смотреть.

 

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\977Fast.exe [2021-08-08] () [Файл не подписан]
  Startup: C:\Users\Администратор.WIN-ENC9I26VJ29\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\977Fast.exe [2021-08-08] () [Файл не подписан]
  2021-12-13 01:44 - 2021-12-13 14:34 - 000005465 _____ C:\Users\Администратор.WIN-ENC9I26VJ29\Desktop\info.hta
  2021-12-13 01:44 - 2021-12-13 14:34 - 000005465 _____ C:\Users\Public\Desktop\info.hta
  2021-12-13 01:44 - 2021-12-13 14:34 - 000005465 _____ C:\info.hta
  2021-12-13 01:44 - 2021-12-13 14:34 - 000000190 _____ C:\Users\Администратор.WIN-ENC9I26VJ29\Desktop\info.txt
  2021-12-13 01:44 - 2021-12-13 14:34 - 000000190 _____ C:\Users\Public\Desktop\info.txt
  2021-12-13 01:44 - 2021-12-13 14:34 - 000000190 _____ C:\info.txt
  2021-12-13 15:31 - 2021-08-08 10:56 - 000056832 _____ () C:\Users\Администратор.WIN-ENC9I26VJ29\AppData\Local\977Fast.exe
  2021-12-12 23:48 - 2021-08-08 10:56 - 000056832 _____ () C:\Users\Администратор.WIN-ENC9I26VJ29\AppData\Local\virus-977Fast.exe
  C:\Users\Администратор.WIN-ENC9I26VJ29\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\977Fast.exe
  C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\977Fast.exe
  FirewallRules: [{135A415E-4916-4E25-87EF-026D59EBBE94}] => (Allow) LPort=15201
  FirewallRules: [{5FD2104B-FE81-4D0E-94C6-3A9DDD1F5FC6}] => (Allow) LPort=1433
  FirewallRules: [{52D2B8C5-BDB8-414F-93C1-80534C04079C}] => (Allow) LPort=1434
  FirewallRules: [{639061C2-6595-420B-AB20-178AEDC66913}] => (Allow) LPort=30480
  FirewallRules: [{A77C746C-C20D-489F-9EBC-8104477F1E00}] => (Allow) C:\Users\Администратор.WIN-ENC9I26VJ29\Desktop\AnyDesk.exe => Нет файла
  FirewallRules: [{75C028BD-CBD0-4404-8518-C0400E39965B}] => (Allow) C:\Users\Администратор.WIN-ENC9I26VJ29\Desktop\AnyDesk.exe => Нет файла
  FirewallRules: [{CBA44111-B724-49F1-928A-338C50C94751}] => (Allow) C:\Users\Администратор.WIN-ENC9I26VJ29\Desktop\AnyDesk.exe => Нет файла
  FirewallRules: [{672D1568-5FAD-4BD3-94E5-E3CC3963E980}] => (Allow) C:\Users\Администратор.WIN-ENC9I26VJ29\Desktop\AnyDesk.exe => Нет файла
  FirewallRules: [{008EBDCD-53C1-4FEE-846E-F6F6B1C58FE2}] => (Allow) C:\Users\Администратор.WIN-ENC9I26VJ29\Desktop\AnyDesk.exe => Нет файла
  FirewallRules: [{1C4330A7-5590-48B4-986C-80BD1C4E788D}] => (Allow) C:\Users\Администратор.WIN-ENC9I26VJ29\Desktop\AnyDesk.exe => Нет файла
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

[Sandor]

Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!