• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

В работе Шифровальщик файлов .WIKI второй ПК

Rosinka48

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
Высылаем Вам файлы, которые были сгенерированы на конкретном зараженном компьютере. Первые файлы были сделаны на предполагаемом.
Обнаружен рабочий процесс 1Bitlock на зараженном компьютере
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
Перед выполнением скрипта закройте все запущенные программы, будет перезагрузка.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    () [File not signed] C:\Users\user\Music\back\1Bitlock.exe
    () [File not signed] C:\Users\user\Music\back\NS.exe..exe
    () [File not signed] C:\Users\user\Music\back\NS.exe..exe
    HKLM-x32\...\RunOnce: [{286DAA76-F358-42C8-8AB0-84D0B514B829}] => cmd.exe /C start /D "C:\Users\TEMPRO~1.000\AppData\Local\Temp" /B {286DAA76-F358-42C8-8AB0-84D0B514B829}.cmd
    HKU\S-1-5-21-488265423-239198249-3424898979-13984\...\Run: [1Bitlock.exe] => C:\Users\user\AppData\Roaming\1Bitlock.exe [94720 2019-12-03] () [File not signed]
    HKU\S-1-5-21-488265423-239198249-3424898979-13984\...\Run: [C:\Users\user\AppData\Roaming\Info.hta] => C:\Users\user\AppData\Roaming\Info.hta [13931 2019-12-03] () [File not signed]
    Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Bitlock.exe [2019-12-03] () [File not signed]
    Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-12-03] () [File not signed]
    2019-12-03 17:11 - 2019-12-03 17:11 - 000013931 _____ C:\Users\user\AppData\Roaming\Info.hta
    2019-12-03 17:11 - 2019-12-03 17:11 - 000000178 _____ C:\Users\user\Desktop\FILES ENCRYPTED.txt
    2019-12-03 17:11 - 2019-12-03 17:11 - 000094720 _____ C:\Users\user\AppData\Roaming\1Bitlock.exe
    C:\Users\user\Music\back\NS.exe..exe
    Zip: c:\FRST\Quarantine\
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.
 

Rosinka48

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
Процесс 1Bitlock убили вручную. Возможно ли восстановить зашифрованные файлы ?
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
В соседней теме я вам уже сказал, что расшифровки нет, увы.
 
Сверху Снизу