Решена с расшифровкой. Шифровальщик 3nity@tuta.io Пожалуйста помогите!

Сергей100

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Здравствуйте.
Помогите пожалуйста расшифровать файлы.
23 июня 2019г. (выходной день) на компьютер с удаленным доступом для бухгалтерии, в 14-19 был запущен шифровальщик из файла manual.exe, отключен антивирусник NOD32, а так же стерт журнал событий. около 16-50 уже все файлы были зашифрованы. ввиде email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-Акт сверки взаиморасчетов № 84 от 20 июня 2019 г.pdf.doubleoffset . Компьютер начал тормозить, отключили.

Появились файлы Readme.txt с текстом "send your country and ip to 3nity@tuta.io"
Я написал письмо просят выкуп 1500 долларов.
Ip адрес - динамический. Соответственно в названии зашифрованного файла IP не прописан. По этому и нет надежды расшифровать файлы даже за деньги.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,292
Реакции
13,298
Баллы
2,203
Подберите пару файлов зашифрованный и его оригинальную версию.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Сергей100

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Не получается прикрепить зашифрованный файл. выскочило сообщение "Нельзя загружать файлы данного типа"
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,292
Реакции
13,298
Баллы
2,203
Групповые политики сами прописывали?

Смените пароли на RDP и проверьте список пользователей, нет ли лишних
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    2019-06-23 14:39 - 2019-06-23 14:39 - 000000061 _____ C:\Users\Людмила\README.txt
    2019-06-23 14:39 - 2019-06-23 14:39 - 000000061 _____ C:\Users\Людмила\Downloads\README.txt
    2019-06-23 14:39 - 2019-06-23 14:39 - 000000061 _____ C:\Users\Людмила\Documents\README.txt
    2019-06-23 14:39 - 2019-06-23 14:39 - 000000061 _____ C:\Users\Людмила\Desktop\README.txt
    2019-06-23 14:39 - 2019-06-23 14:39 - 000000061 _____ C:\Users\Людмила\AppData\Roaming\README.txt
    2019-06-23 14:39 - 2019-06-23 14:39 - 000000061 _____ C:\Users\Людмила\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 14:39 - 2019-06-23 14:39 - 000000061 _____ C:\Users\Людмила\AppData\README.txt
    2019-06-23 14:39 - 2019-06-23 14:39 - 000000061 _____ C:\Users\Людмила\AppData\LocalLow\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Людмила\AppData\Local\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\SYSTEМ\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\SYSTEМ\Downloads\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\SYSTEМ\Documents\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\SYSTEМ\Desktop\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\SYSTEМ\AppData\Roaming\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\SYSTEМ\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\SYSTEМ\AppData\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\SYSTEМ\AppData\LocalLow\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\SYSTEМ\AppData\Local\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\sergey\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\sergey\Downloads\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\sergey\Documents\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\sergey\Desktop\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\sergey\AppData\Roaming\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\sergey\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\sergey\AppData\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Sergey 2\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Sergey 2\Downloads\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Sergey 2\Documents\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Sergey 2\Desktop\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Sergey 2\AppData\Roaming\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Sergey 2\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Sergey 2\AppData\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Sergey 2\AppData\LocalLow\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Sergey 2\AppData\Local\README.txt
    2019-06-23 14:35 - 2019-06-23 14:35 - 000000061 _____ C:\Users\sergey\AppData\LocalLow\README.txt
    2019-06-23 14:34 - 2019-06-23 14:34 - 000000061 _____ C:\Users\sergey\AppData\Local\README.txt
    2019-06-23 14:34 - 2019-06-23 14:34 - 000000061 _____ C:\Users\Public\README.txt
    2019-06-23 14:34 - 2019-06-23 14:34 - 000000061 _____ C:\Users\Public\Downloads\README.txt
    2019-06-23 14:34 - 2019-06-23 14:34 - 000000061 _____ C:\Users\marianna\README.txt
    2019-06-23 14:34 - 2019-06-23 14:34 - 000000061 _____ C:\Users\marianna\Downloads\README.txt
    2019-06-23 14:34 - 2019-06-23 14:34 - 000000061 _____ C:\Users\marianna\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 14:33 - 2019-06-23 14:33 - 000000061 _____ C:\Users\marianna\Documents\README.txt
    2019-06-23 14:33 - 2019-06-23 14:33 - 000000061 _____ C:\Users\marianna\Desktop\README.txt
    2019-06-23 14:33 - 2019-06-23 14:33 - 000000061 _____ C:\Users\marianna\AppData\Roaming\README.txt
    2019-06-23 14:33 - 2019-06-23 14:33 - 000000061 _____ C:\Users\marianna\AppData\README.txt
    2019-06-23 14:33 - 2019-06-23 14:33 - 000000061 _____ C:\Users\marianna\AppData\LocalLow\README.txt
    2019-06-23 14:33 - 2019-06-23 14:33 - 000000061 _____ C:\Users\marianna\AppData\Local\README.txt
    2019-06-23 14:32 - 2019-06-23 14:34 - 000001259 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 14:32 - 2019-06-23 14:34 - 000000061 _____ C:\Users\Public\Documents\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000001259 _____ C:\Users\Все пользователи\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 14:32 - 2019-06-23 14:32 - 000001259 _____ C:\ProgramData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Все пользователи\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\buh\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\buh\Downloads\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\buh\Documents\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\buh\Desktop\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\buh\AppData\Roaming\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\buh\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\buh\AppData\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\buh\AppData\LocalLow\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\buh\AppData\Local\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Alexey\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Alexey\Downloads\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Alexey\Documents\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Alexey\Desktop\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Alexey\AppData\Roaming\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Alexey\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Alexey\AppData\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Alexey\AppData\LocalLow\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Alexey\AppData\Local\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\ProgramData\README.txt
    2019-06-23 14:20 - 2019-06-23 14:38 - 000000000 ____D C:\Users\sergey\AppData\Roaming\Process Hacker 2
    2019-06-23 14:20 - 2019-06-23 14:38 - 000000000 ____D C:\Users\sergey\Downloads\taskmgr
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ () C:\Users\sergey\AppData\Roaming\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ () C:\Users\sergey\AppData\Roaming\Microsoft\README.txt
    2019-06-23 14:34 - 2019-06-23 14:34 - 000000061 _____ () C:\Users\sergey\AppData\Local\README.txt
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,292
Реакции
13,298
Баллы
2,203
Проверьте ЛС
 

Сергей100

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Спасибо большое!!!! Почти все расшифровало. Не расшифровались только большие Файлы с 1с. Может есть идеи как их тоже расшифровать?
 

akok

Команда форума
Администратор
Сообщения
17,292
Реакции
13,298
Баллы
2,203
Попробуйте перенести в корень диска, возможно проблема в длинных путях. Насколько большие файлы?
 

akok

Команда форума
Администратор
Сообщения
17,292
Реакции
13,298
Баллы
2,203
Проблема известна, в течении нескольких дней будет исправлена.
 

Сергей100

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Добрый день. Такое чувство что дешифратор не реагирует на Файлы 1с .
 

akok

Команда форума
Администратор
Сообщения
17,292
Реакции
13,298
Баллы
2,203
Большие файлы? Сейчас он не берет файлы больше 2,1 гб, новая версия будет через пару дней.
 

Сергей100

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Добрый день.
Новая версия дешифратора еще не появилась?
 

akok

Команда форума
Администратор
Сообщения
17,292
Реакции
13,298
Баллы
2,203
Проверьте ЛС
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,289
Реакции
1,799
Баллы
563
Результат сообщите, пожалуйста.
 
Сверху Снизу