Решена с расшифровкой. расшифровка email-lybot@rape.lol ver-CS 1.6

[globus2000inc]

Добрый день
помогите с расшифровкой
Windows 2008 схватил email-lybot@rape.lol ver-CS 1.6
нашел похожую тему на форуме с удачным решением, но другой версии шифровальщика email-lybot@rape.lol ver-CS 1.5
заранее благодарен
предоставлю необходимую дополнительную информацию

 

[Severnyj]

https://safezone.cc/decryption-rules/

 

[globus2000inc]

логи анализа системы
зашифрованный файл + записка о выкупе

 

[thyrex]

Поищите пару - шифрованный_файл/оригинал_до_шифрования - одного и того же файла и прикрепите в архиве к следующему сообщению. Размер оригинала не менее 50 кбайт. Тип файла - документы Office, картинки.

 

[Sandor]

Смените пароль на RDP.

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 64 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  IFEO\Utilman.exe: [Debugger] cmd.exe
  2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\Администратор\README.txt
  2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\Администратор\Downloads\README.txt
  2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\Администратор\Documents\README.txt
  2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\Администратор\Desktop\README.txt
  2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\Администратор\AppData\Roaming\README.txt
  2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\Администратор\AppData\README.txt
  2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
  2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\Администратор\AppData\Local\Temp\README.txt
  2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\ylashyn\README.txt
  2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\ylashyn\Downloads\README.txt
  2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\ylashyn\Documents\README.txt
  2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\ylashyn\Desktop\README.txt
  2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\ylashyn\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\README.txt
  2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\ylashyn\AppData\Roaming\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\ylashyn\AppData\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\ylashyn\AppData\LocalLow\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\ylashyn\AppData\Local\Temp\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\USR1CV8\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\USR1CV8\Downloads\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\USR1CV8\Documents\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\USR1CV8\Desktop\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\USR1CV8\AppData\Roaming\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\USR1CV8\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\USR1CV8\AppData\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\USR1CV8\AppData\LocalLow\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\USR1CV8\AppData\Local\Temp\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\SQLSERVERAGENT\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\SQLSERVERAGENT\Downloads\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\SQLSERVERAGENT\Documents\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\SQLSERVERAGENT\Desktop\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\SQLSERVERAGENT\AppData\Roaming\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\SQLSERVERAGENT\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\SQLSERVERAGENT\AppData\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\SQLSERVERAGENT\AppData\LocalLow\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\SQLSERVERAGENT\AppData\Local\Temp\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Public\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Public\Downloads\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLSERVER\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLSERVER\Downloads\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLSERVER\Documents\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLSERVER\Desktop\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLSERVER\AppData\Roaming\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLSERVER\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLSERVER\AppData\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLSERVER\AppData\LocalLow\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLSERVER\AppData\Local\Temp\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLFDLauncher\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLFDLauncher\Downloads\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLFDLauncher\Documents\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLFDLauncher\Desktop\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLFDLauncher\AppData\Roaming\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLFDLauncher\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLFDLauncher\AppData\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLFDLauncher\AppData\LocalLow\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLFDLauncher\AppData\Local\Temp\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Jaroslav\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Jaroslav\Downloads\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Jaroslav\Documents\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Jaroslav\Desktop\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Jaroslav\AppData\Roaming\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Jaroslav\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Jaroslav\AppData\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Jaroslav\AppData\LocalLow\README.txt
  2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Jaroslav\AppData\Local\Temp\README.txt
  2019-08-06 00:37 - 2019-08-06 00:39 - 000000773 _____ C:\Users\Все пользователи\README.txt
  2019-08-06 00:37 - 2019-08-06 00:39 - 000000773 _____ C:\ProgramData\README.txt
  2019-08-06 00:37 - 2019-08-06 00:38 - 000000773 _____ C:\Users\Public\Documents\email-lybot@rape.lol.ver-CS 1.6.id-.fname-README.txt.cs16
  2019-08-06 00:37 - 2019-08-06 00:38 - 000000773 _____ C:\Users\Public\Desktop\email-lybot@rape.lol.ver-CS 1.6.id-.fname-README.txt.cs16
  2019-08-06 00:37 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Public\Documents\README.txt
  2019-08-06 00:37 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Public\Desktop\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000773 _____ C:\Users\Все пользователи\email-lybot@rape.lol.ver-CS 1.6.id-.fname-README.txt.cs16
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000773 _____ C:\ProgramData\email-lybot@rape.lol.ver-CS 1.6.id-.fname-README.txt.cs16
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\elashyn\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\elashyn\Downloads\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\elashyn\Documents\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\elashyn\Desktop\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\elashyn\AppData\Roaming\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\elashyn\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\elashyn\AppData\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\elashyn\AppData\LocalLow\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\elashyn\AppData\Local\Temp\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default\Downloads\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default\Documents\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default\Desktop\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default\AppData\Roaming\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default\AppData\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default\AppData\LocalLow\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default\AppData\Local\Temp\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default User\Downloads\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default User\Documents\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default User\Desktop\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default User\AppData\Roaming\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default User\AppData\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default User\AppData\LocalLow\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default User\AppData\Local\Temp\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\a.shyshkin\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\a.shyshkin\Downloads\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\a.shyshkin\Documents\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\a.shyshkin\Desktop\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\a.shyshkin\AppData\Roaming\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\a.shyshkin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\a.shyshkin\AppData\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\a.shyshkin\AppData\LocalLow\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\a.shyshkin\AppData\Local\Temp\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
  2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Program Files (x86)\README.txt
  2019-08-06 00:34 - 2019-08-06 00:34 - 000000059 _____ C:\Program Files\README.txt
  2019-08-06 00:29 - 2019-08-06 00:38 - 000000773 _____ C:\Users\email-lybot@rape.lol.ver-CS 1.6.id-.fname-README.txt.cs16
  2019-08-06 00:29 - 2019-08-06 00:29 - 000000059 _____ C:\Program Files\Common Files\README.txt
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

[globus2000inc]

файл Fixlog
нешифрованный файл восстанавливается из бекапа

 

[Sandor]

Ждём. Лицензия на любой из продуктов Касперского имеется?

 

[globus2000inc]

Ждём. Лицензия на любой из продуктов Касперского имеется?

к сожалению нет


во вложении оригинальный файл и зашифрованный

 

[Sandor]

Ещё пару небольших зашифрованных прикрепите в архиве, пожалуйста.

 

[globus2000inc]

зашифрованные файлы

 

[Sandor]

к сожалению нет

Может есть у кого из знакомых. Она нужна для создания запроса на дешифровку.

 

[globus2000inc]

если купить, подойдет?
у касперсокго нет предрассудков в отношении свежекупленных продуктов?

 

[Sandor]

если купить, подойдет?

Да.

в отношении свежекупленных продуктов?

Нет

 

[globus2000inc]

так купил , какая информация нужна по лицензии?

 

[Sandor]

Нам не нужна.
Войдите в свой кабинет и создайте запрос на расшифровку.
Результат сообщите здесь, пожалуйста.

 

[globus2000inc]

Номер запроса:INC000010676745