• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Шифровальщик файлов .WIKI второй ПК

Статус
В этой теме нельзя размещать новые ответы.
Rosinka48

Rosinka48

Новый пользователь
Сообщения
3
Реакции
0
Высылаем Вам файлы, которые были сгенерированы на конкретном зараженном компьютере. Первые файлы были сделаны на предполагаемом.
Обнаружен рабочий процесс 1Bitlock на зараженном компьютере
 

Вложения

Перед выполнением скрипта закройте все запущенные программы, будет перезагрузка.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
() [File not signed] C:\Users\user\Music\back\1Bitlock.exe
() [File not signed] C:\Users\user\Music\back\NS.exe..exe
() [File not signed] C:\Users\user\Music\back\NS.exe..exe
HKLM-x32\...\RunOnce: [{286DAA76-F358-42C8-8AB0-84D0B514B829}] => cmd.exe /C start /D "C:\Users\TEMPRO~1.000\AppData\Local\Temp" /B {286DAA76-F358-42C8-8AB0-84D0B514B829}.cmd
HKU\S-1-5-21-488265423-239198249-3424898979-13984\...\Run: [1Bitlock.exe] => C:\Users\user\AppData\Roaming\1Bitlock.exe [94720 2019-12-03] () [File not signed]
HKU\S-1-5-21-488265423-239198249-3424898979-13984\...\Run: [C:\Users\user\AppData\Roaming\Info.hta] => C:\Users\user\AppData\Roaming\Info.hta [13931 2019-12-03] () [File not signed]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Bitlock.exe [2019-12-03] () [File not signed]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-12-03] () [File not signed]
2019-12-03 17:11 - 2019-12-03 17:11 - 000013931 _____ C:\Users\user\AppData\Roaming\Info.hta
2019-12-03 17:11 - 2019-12-03 17:11 - 000000178 _____ C:\Users\user\Desktop\FILES ENCRYPTED.txt
2019-12-03 17:11 - 2019-12-03 17:11 - 000094720 _____ C:\Users\user\AppData\Roaming\1Bitlock.exe
C:\Users\user\Music\back\NS.exe..exe
Zip: c:\FRST\Quarantine\
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.
 
Процесс 1Bitlock убили вручную. Возможно ли восстановить зашифрованные файлы ?
 

Вложения

В соседней теме я вам уже сказал, что расшифровки нет, увы.
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

Rosinka48
  • Закрыта
Закрыто Шифровальщик файлов .WIKI
Ответы
3
Просмотры
2K
Sandor
Sandor
E
  • Закрыта
Решена без расшифровки Шифровальщик SCARAB, расширение файлов .b78vi7v6ri66b
Ответы
10
Просмотры
2K
Sandor
Sandor
thyrex
.arest файлов или новый шифровальщик
Ответы
5
Просмотры
11K
thyrex
thyrex
Назад
Сверху Снизу