• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. расшифровка email-lybot@rape.lol ver-CS 1.6

globus2000inc

Новый пользователь
Сообщения
8
Реакции
0
Добрый день
помогите с расшифровкой
Windows 2008 схватил email-lybot@rape.lol ver-CS 1.6
нашел похожую тему на форуме с удачным решением, но другой версии шифровальщика email-lybot@rape.lol ver-CS 1.5
заранее благодарен
предоставлю необходимую дополнительную информацию
 
логи анализа системы
зашифрованный файл + записка о выкупе
 

Вложения

  • FRST_log.zip
    174 KB · Просмотры: 3
  • email-lybot.zip
    356.1 KB · Просмотры: 2
Последнее редактирование:
Поищите пару - шифрованный_файл/оригинал_до_шифрования - одного и того же файла и прикрепите в архиве к следующему сообщению. Размер оригинала не менее 50 кбайт. Тип файла - документы Office, картинки.
 
Смените пароль на RDP.

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 64 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    IFEO\Utilman.exe: [Debugger] cmd.exe
    2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\Администратор\README.txt
    2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\Администратор\Downloads\README.txt
    2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\Администратор\Documents\README.txt
    2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\Администратор\Desktop\README.txt
    2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\Администратор\AppData\Roaming\README.txt
    2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\Администратор\AppData\README.txt
    2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
    2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\Администратор\AppData\Local\Temp\README.txt
    2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\ylashyn\README.txt
    2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\ylashyn\Downloads\README.txt
    2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\ylashyn\Documents\README.txt
    2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\ylashyn\Desktop\README.txt
    2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\ylashyn\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\Users\README.txt
    2019-08-06 00:39 - 2019-08-06 00:39 - 000000059 _____ C:\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\ylashyn\AppData\Roaming\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\ylashyn\AppData\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\ylashyn\AppData\LocalLow\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\ylashyn\AppData\Local\Temp\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\USR1CV8\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\USR1CV8\Downloads\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\USR1CV8\Documents\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\USR1CV8\Desktop\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\USR1CV8\AppData\Roaming\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\USR1CV8\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\USR1CV8\AppData\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\USR1CV8\AppData\LocalLow\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\USR1CV8\AppData\Local\Temp\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\SQLSERVERAGENT\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\SQLSERVERAGENT\Downloads\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\SQLSERVERAGENT\Documents\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\SQLSERVERAGENT\Desktop\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\SQLSERVERAGENT\AppData\Roaming\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\SQLSERVERAGENT\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\SQLSERVERAGENT\AppData\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\SQLSERVERAGENT\AppData\LocalLow\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\SQLSERVERAGENT\AppData\Local\Temp\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Public\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Public\Downloads\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLSERVER\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLSERVER\Downloads\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLSERVER\Documents\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLSERVER\Desktop\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLSERVER\AppData\Roaming\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLSERVER\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLSERVER\AppData\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLSERVER\AppData\LocalLow\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLSERVER\AppData\Local\Temp\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLFDLauncher\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLFDLauncher\Downloads\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLFDLauncher\Documents\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLFDLauncher\Desktop\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLFDLauncher\AppData\Roaming\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLFDLauncher\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLFDLauncher\AppData\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLFDLauncher\AppData\LocalLow\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\MSSQLFDLauncher\AppData\Local\Temp\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Jaroslav\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Jaroslav\Downloads\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Jaroslav\Documents\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Jaroslav\Desktop\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Jaroslav\AppData\Roaming\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Jaroslav\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Jaroslav\AppData\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Jaroslav\AppData\LocalLow\README.txt
    2019-08-06 00:38 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Jaroslav\AppData\Local\Temp\README.txt
    2019-08-06 00:37 - 2019-08-06 00:39 - 000000773 _____ C:\Users\Все пользователи\README.txt
    2019-08-06 00:37 - 2019-08-06 00:39 - 000000773 _____ C:\ProgramData\README.txt
    2019-08-06 00:37 - 2019-08-06 00:38 - 000000773 _____ C:\Users\Public\Documents\email-lybot@rape.lol.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-08-06 00:37 - 2019-08-06 00:38 - 000000773 _____ C:\Users\Public\Desktop\email-lybot@rape.lol.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-08-06 00:37 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Public\Documents\README.txt
    2019-08-06 00:37 - 2019-08-06 00:38 - 000000059 _____ C:\Users\Public\Desktop\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000773 _____ C:\Users\Все пользователи\email-lybot@rape.lol.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000773 _____ C:\ProgramData\email-lybot@rape.lol.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\elashyn\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\elashyn\Downloads\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\elashyn\Documents\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\elashyn\Desktop\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\elashyn\AppData\Roaming\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\elashyn\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\elashyn\AppData\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\elashyn\AppData\LocalLow\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\elashyn\AppData\Local\Temp\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default\Downloads\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default\Documents\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default\Desktop\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default\AppData\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default\AppData\LocalLow\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default\AppData\Local\Temp\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default User\Downloads\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default User\Documents\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default User\Desktop\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default User\AppData\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default User\AppData\LocalLow\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\Default User\AppData\Local\Temp\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\a.shyshkin\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\a.shyshkin\Downloads\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\a.shyshkin\Documents\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\a.shyshkin\Desktop\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\a.shyshkin\AppData\Roaming\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\a.shyshkin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\a.shyshkin\AppData\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\a.shyshkin\AppData\LocalLow\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Users\a.shyshkin\AppData\Local\Temp\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-08-06 00:37 - 2019-08-06 00:37 - 000000059 _____ C:\Program Files (x86)\README.txt
    2019-08-06 00:34 - 2019-08-06 00:34 - 000000059 _____ C:\Program Files\README.txt
    2019-08-06 00:29 - 2019-08-06 00:38 - 000000773 _____ C:\Users\email-lybot@rape.lol.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-08-06 00:29 - 2019-08-06 00:29 - 000000059 _____ C:\Program Files\Common Files\README.txt
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.
 
файл Fixlog
нешифрованный файл восстанавливается из бекапа
 

Вложения

  • Fixlog_06-08-2019 11.55.26.txt
    20.1 KB · Просмотры: 1
Ждём. Лицензия на любой из продуктов Касперского имеется?
 
Ещё пару небольших зашифрованных прикрепите в архиве, пожалуйста.
 
зашифрованные файлы
 

Вложения

  • encrypted_files.zip
    1 MB · Просмотры: 2
если купить, подойдет?
у касперсокго нет предрассудков в отношении свежекупленных продуктов?
 
так купил , какая информация нужна по лицензии?
 
Нам не нужна.
Войдите в свой кабинет и создайте запрос на расшифровку.
Результат сообщите здесь, пожалуйста.
 
Номер запроса:INC000010676745
 
Последнее редактирование модератором:
Назад
Сверху Снизу