• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Прошу помочь с рашифровкой [email protected]

Статус
В этой теме нельзя размещать новые ответы.

data

Новый пользователь
Сообщения
11
Реакции
0
Баллы
11
Зашифровалось.
Текст сообщения следующий:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail [email protected]
Write this ID in the title of your message 51836CCB
In case of no answer in 24 hours write us to theese e-mails:[email protected]
Прикрепляю лог
 

Вложения

  • 2.6 MB Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,690
Реакции
2,062
Баллы
643
Здравствуйте!

Пароль на архив какой?
 

data

Новый пользователь
Сообщения
11
Реакции
0
Баллы
11
1 (еденица)
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,690
Реакции
2,062
Баллы
643
Тип вымогателя Dharma (.cezar Family) или Crusis по терминологии ЛК. Расшифровки нет.
Чистить систему будем?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,690
Реакции
2,062
Баллы
643
Да, смысл есть.
Но вы не ответили на мой вопрос.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,690
Реакции
2,062
Баллы
643
Пользователь
admin (S-1-5-21-1753715288-877677026-590751351-1001 - Administrator - Enabled) => C:\Users\admin
если не ваш, удалите.
Смените пароли на RDP.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13910 2019-12-17] () [File not signed]
    HKLM\...\Run: [C:\Users\Kassa\AppData\Roaming\Info.hta] => C:\Users\Kassa\AppData\Roaming\Info.hta [13910 2019-12-17] () [File not signed]
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    2019-12-17 03:23 - 2019-12-17 03:23 - 000013910 _____ C:\Windows\system32\Info.hta
    2019-12-17 03:23 - 2019-12-17 03:23 - 000013910 _____ C:\Users\Kassa\AppData\Roaming\Info.hta
    2019-12-17 03:23 - 2019-12-17 03:23 - 000000204 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
    2019-12-17 03:23 - 2019-12-17 03:23 - 000000204 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-12-17 03:23 - 2019-12-17 03:23 - 000000204 _____ C:\Users\Kassa\Desktop\FILES ENCRYPTED.txt
    2019-12-17 03:23 - 2019-12-17 03:23 - 000000204 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2019-12-17 03:23 - 2019-12-17 03:23 - 000000204 _____ C:\FILES ENCRYPTED.txt
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,690
Реакции
2,062
Баллы
643
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу