• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Помогите расшифровать файлы, зашифрованные Trojan.Encoder.5035

Статус
В этой теме нельзя размещать новые ответы.
A

AlexMag62

Новый пользователь
Сообщения
1
Реакции
0
Здравствуйте.
У моего приятеля на работе вирус пошифровал массу документов (грубо говоря, все). Бэкапов, в лучших традициях, никто никогда не делал.
Необходимо восстановить файлы либо найти дешифровщик.
Сам вредоносный файл найти не удалось.
Примеры зашифрованных файлов, сообщение вымогателей и логи FRST64 прилагаю.
Также есть пары оригинальных и шифрованных файлов. Могу их тоже предоставить.
За точность пар не ручаюсь, всё со слов потерпевшего.
Файлы в парах немного отличаются длиной, чего, по моему мнению, быть не должно.

Надеюсь и уповаю на помощь добрых людей.
BR. Alex
 

Вложения

Последнее редактирование:
Подхватили через rdp? Для этого вымогателя пока нет способа дешифровки данных. Можно только почистить следы.

Очень много администраторов, оставьте одного.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код: 
Start::
SystemRestore: On
CreateRestorePoint:
Folder: C:\Users\DD\AppData\Local\CEF
Folder: C:\Users\DD\.ms-ad
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\rvpighoehjiumug.txt [2023-04-29] () [Файл не подписан]
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\buh\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\cad\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Dir\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\homeuser\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\smo\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2023-04-29 09:11 - 2023-04-29 09:11 - 000001179 _____ C:\rvpighoehjiumug.txt
2023-04-29 09:52 - 2023-04-29 09:52 - 000001179 _____ C:\Users\DD\Desktop\rvpighoehjiumug.txt
2023-04-29 09:38 - 2023-04-29 09:38 - 000001179 _____ C:\Windows\Tasks\rvpighoehjiumug.txt
2023-04-29 09:38 - 2023-04-29 09:38 - 000001179 _____ C:\Windows\SysWOW64\rvpighoehjiumug.txt
2023-04-29 09:38 - 2023-04-29 09:38 - 000001179 _____ C:\Windows\SysWOW64\Drivers\rvpighoehjiumug.txt
2023-04-29 09:37 - 2023-04-29 09:37 - 000001179 _____ C:\Windows\system32\Tasks\rvpighoehjiumug.txt
2023-04-29 09:37 - 2023-04-29 09:37 - 000001179 _____ C:\Windows\system32\spool\prtprocs\x64\rvpighoehjiumug.txt
2023-04-29 09:37 - 2023-04-29 09:37 - 000001179 _____ C:\Windows\system32\spool\prtprocs\w32x86\rvpighoehjiumug.txt
2023-04-29 09:36 - 2023-04-29 09:36 - 000001179 _____ C:\Windows\system32\Drivers\rvpighoehjiumug.txt
2023-04-29 09:36 - 2023-04-29 09:36 - 000001179 _____ C:\Windows\system32\Drivers\etc\rvpighoehjiumug.txt
2023-04-29 09:36 - 2023-04-29 09:36 - 000001179 _____ C:\Windows\system32\config\rvpighoehjiumug.txt
2023-04-29 09:33 - 2023-04-29 09:33 - 000001179 _____ C:\Windows\Minidump\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\USR1CV8\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\USR1CV8\Downloads\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\USR1CV8\Documents\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\USR1CV8\Desktop\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\USR1CV8\AppData\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\USR1CV8\AppData\Roaming\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\USR1CV8\AppData\Roaming\Microsoft\Windows\Start Menu\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\USR1CV8\AppData\Local\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\smo\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\smo\Downloads\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\smo\Documents\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\smo\Desktop\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\smo\AppData\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\smo\AppData\Roaming\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\smo\AppData\Roaming\Microsoft\Windows\Start Menu\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\smo\AppData\Local\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\Public\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\Public\Downloads\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\homeuser\AppData\Roaming\Microsoft\Windows\Start Menu\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\homeuser\AppData\Local\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\homeuser.main-pc\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\homeuser.main-pc\Downloads\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\homeuser.main-pc\Documents\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\homeuser.main-pc\Desktop\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\homeuser.main-pc\AppData\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\homeuser.main-pc\AppData\Roaming\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\homeuser.main-pc\AppData\Roaming\Microsoft\Windows\Start Menu\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:52 - 000001179 _____ C:\Users\homeuser.main-pc\AppData\Local\rvpighoehjiumug.txt
2023-04-29 09:30 - 2023-04-29 09:30 - 000001179 _____ C:\Windows\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\homeuser\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\homeuser\Downloads\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\homeuser\Documents\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\homeuser\Desktop\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\homeuser\AppData\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\homeuser\AppData\Roaming\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\Dir\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\Dir\Downloads\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\Dir\Documents\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\Dir\Desktop\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\Dir\AppData\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\Dir\AppData\Roaming\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\Dir\AppData\Roaming\Microsoft\Windows\Start Menu\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\Dir\AppData\Local\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\dffin\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\dffin\Downloads\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\dffin\Documents\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\dffin\Desktop\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\dffin\AppData\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\dffin\AppData\Roaming\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\dffin\AppData\Roaming\Microsoft\Windows\Start Menu\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\dffin\AppData\Local\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\dfadmin\Downloads\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\dfadmin\AppData\Roaming\Microsoft\Windows\Start Menu\rvpighoehjiumug.txt
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ C:\Users\dfadmin\AppData\Local\rvpighoehjiumug.txt
2023-04-29 09:28 - 2023-04-29 09:52 - 000001179 _____ C:\Users\dfadmin\Documents\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\dfadmin\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\dfadmin\Desktop\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\dfadmin\AppData\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\dfadmin\AppData\Roaming\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\DD\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\DD\Downloads\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\DD\Documents\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\DD\AppData\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\DD\AppData\Roaming\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\DD\AppData\Roaming\Microsoft\Windows\Start Menu\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\DD\AppData\Local\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\cur\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\cur\Downloads\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\cur\Documents\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\cur\Desktop\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\cur\AppData\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\cur\AppData\Roaming\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\cur\AppData\Roaming\Microsoft\Windows\Start Menu\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\cur\AppData\Local\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\cad\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\cad\Downloads\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\cad\Documents\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\cad\Desktop\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\cad\AppData\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\cad\AppData\Roaming\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\cad\AppData\Roaming\Microsoft\Windows\Start Menu\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\cad\AppData\Local\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\buh\AppData\Roaming\Microsoft\Windows\Start Menu\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ C:\Users\buh\AppData\Local\rvpighoehjiumug.txt
2023-04-29 09:26 - 2023-04-29 09:52 - 000001179 _____ C:\Users\buh\rvpighoehjiumug.txt
2023-04-29 09:26 - 2023-04-29 09:52 - 000001179 _____ C:\Users\buh\Downloads\rvpighoehjiumug.txt
2023-04-29 09:26 - 2023-04-29 09:52 - 000001179 _____ C:\Users\buh\Documents\rvpighoehjiumug.txt
2023-04-29 09:26 - 2023-04-29 09:52 - 000001179 _____ C:\Users\buh\Desktop\rvpighoehjiumug.txt
2023-04-29 09:26 - 2023-04-29 09:52 - 000001179 _____ C:\Users\buh\AppData\rvpighoehjiumug.txt
2023-04-29 09:26 - 2023-04-29 09:52 - 000001179 _____ C:\Users\buh\AppData\Roaming\rvpighoehjiumug.txt
2023-04-29 09:24 - 2023-04-29 09:52 - 000001179 _____ C:\ProgramData\Microsoft\Windows\Start Menu\rvpighoehjiumug.txt
2023-04-29 09:24 - 2023-04-29 09:52 - 000001179 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\rvpighoehjiumug.txt
2023-04-29 09:23 - 2023-04-29 09:52 - 000001179 _____ C:\Users\Public\Documents\rvpighoehjiumug.txt
2023-04-29 09:23 - 2023-04-29 09:52 - 000001179 _____ C:\Users\Public\Desktop\rvpighoehjiumug.txt
2023-04-29 09:23 - 2023-04-29 09:52 - 000001179 _____ C:\ProgramData\rvpighoehjiumug.txt
2023-04-29 09:19 - 2023-04-29 09:19 - 000001179 _____ C:\Program Files (x86)\rvpighoehjiumug.txt
2023-04-29 09:17 - 2023-04-29 09:17 - 000001179 _____ C:\Program Files\rvpighoehjiumug.txt
2023-04-29 09:17 - 2023-04-29 09:17 - 000001179 _____ C:\Program Files\Common Files\rvpighoehjiumug.txt
2023-04-29 09:16 - 2023-04-29 09:24 - 000001179 _____ C:\Users\rvpighoehjiumug.txt
2023-04-29 09:11 - 2023-04-29 09:11 - 000001179 _____ C:\rvpighoehjiumug.txt
2023-04-29 09:17 - 2023-04-29 09:17 - 000001179 _____ () C:\Program Files\rvpighoehjiumug.txt
2023-04-29 09:19 - 2023-04-29 09:19 - 000001179 _____ () C:\Program Files (x86)\rvpighoehjiumug.txt
2023-04-29 09:17 - 2023-04-29 09:17 - 000001179 _____ () C:\Program Files\Common Files\rvpighoehjiumug.txt
2023-04-29 09:20 - 2023-04-29 09:20 - 000001179 _____ () C:\Program Files (x86)\Common Files\rvpighoehjiumug.txt
2023-04-29 09:27 - 2023-04-29 09:52 - 000001179 _____ () C:\Users\dfadmin\AppData\Roaming\rvpighoehjiumug.txt
2023-05-02 11:02 - 2023-05-02 11:02 - 000000600 _____ () C:\Users\dfadmin\AppData\Roaming\winscp.rnd
2023-04-29 09:29 - 2023-04-29 09:52 - 000001179 _____ () C:\Users\dfadmin\AppData\Local\rvpighoehjiumug.txt
HKLM\...\StartupApproved\StartupFolder: => "rvpighoehjiumug.txt"
ContextMenuHandlers4: [WinRAR] -> _{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> Нет файла
ContextMenuHandlers4: [WinRAR32] -> _{B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> Нет файла
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Нет файла
AlternateDataStreams: C:\Users\admin:id [32]
AlternateDataStreams: C:\Users\homeuser:id [32]
AlternateDataStreams: C:\Users\dfadmin\Desktop\1.jpg.c39od24@BLOCKED:3or4kl4x13tuuug3Byamue2s4b [87]
AlternateDataStreams: C:\Users\dfadmin\Desktop\1.jpg.c39od24@BLOCKED:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\dfadmin\Downloads\17.08 рее.jpeg.c39od24@BLOCKED:3or4kl4x13tuuug3Byamue2s4b [87]
AlternateDataStreams: C:\Users\dfadmin\Downloads\17.08 рее.jpeg.c39od24@BLOCKED:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\dfadmin\Downloads\17.08 рспр.jpeg.c39od24@BLOCKED:3or4kl4x13tuuug3Byamue2s4b [87]
AlternateDataStreams: C:\Users\dfadmin\Downloads\17.08 рспр.jpeg.c39od24@BLOCKED:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
Reboot:
End::
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу