• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Шифровальщик email-nightmare666@cock.li.ver-CL 1.5.1.0.id

Статус
В этой теме нельзя размещать новые ответы.

maximk8

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Добрый день! Файлы в общей папке на двух ПК зашифрованы email-nightmare666@cock.li.ver-CL 1.5.1.0.id помогите расшифровать
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,781
Реакции
2,548
Баллы
593
По каждому компьютеру создавайте отдельную тему. Сразу хочу предупредить - расшифровка вряд ли будет возможна ввиду измененного алгоритма генерации ключа шифрования.


Скачайте Farbar Recovery Scan Tool
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

maximk8

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Заражение этих двух ПК произошло одновременно через общую папку
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,781
Реакции
2,548
Баллы
593
По каждому компьютеру создавайте отдельную тему
Это я для себя написал?

В этой теме ответ будет только по логам ПК-1. Где-то по удаленке или по сети скорее всего еще может работать
\\tsclient\g\tosenderbuild.exe
Это и есть сам шифратор. Зашли по RDP, подобрав пароль.

1. Выделите следующий код:
Код:
Start::
CreateRestorePoint:
IFEO\sethc.exe: [Debugger] seth.exe
Startup: C:\Users\ASPNET\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk [2018-01-31]
ShortcutTarget: Punto Switcher.lnk -> C:\Users\shadrin\AppData\Roaming\Punto\lsass.exe (No File)
Startup: C:\Users\Vasilii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.lnk [2018-06-06]
ShortcutTarget: desktop.lnk -> C:\Users\shadrin\System\winlogon.exe (No File)
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
 
Последнее редактирование:

maximk8

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Благодарю! Прикрепил лог с ПК-1
 

Вложения

maximk8

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Данного файла нет в системе tosenderbuild.exe
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,781
Реакции
2,548
Баллы
593
Увы, с расшифровкойне сможем помочь.
 

maximk8

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Утилиту запустили в режиме совместимости с win vista sp2 т.к. у нас стоит windows server 2008 r2
Результаты прикрепил
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,696
Реакции
1,884
Баллы
563
Указанное в отчете по возможности обновите.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу