• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Шифровальщик файлов .WIKI второй ПК

Статус
В этой теме нельзя размещать новые ответы.

Rosinka48

Новый пользователь
Сообщения
3
Реакции
0
Высылаем Вам файлы, которые были сгенерированы на конкретном зараженном компьютере. Первые файлы были сделаны на предполагаемом.
Обнаружен рабочий процесс 1Bitlock на зараженном компьютере
 

Вложения

  • Addition.txt
    34.1 KB · Просмотры: 1
  • FRST.txt
    54.7 KB · Просмотры: 1
  • 1-Т (Товарно-транспортная накладная).epf.id-9462D436.[bitlocker@foxmail.com ].rar
    62.9 KB · Просмотры: 1
  • AA_v3.exe.id-9462D436.[bitlocker@foxmail.com ].rar
    778.6 KB · Просмотры: 0
Перед выполнением скрипта закройте все запущенные программы, будет перезагрузка.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    () [File not signed] C:\Users\user\Music\back\1Bitlock.exe
    () [File not signed] C:\Users\user\Music\back\NS.exe..exe
    () [File not signed] C:\Users\user\Music\back\NS.exe..exe
    HKLM-x32\...\RunOnce: [{286DAA76-F358-42C8-8AB0-84D0B514B829}] => cmd.exe /C start /D "C:\Users\TEMPRO~1.000\AppData\Local\Temp" /B {286DAA76-F358-42C8-8AB0-84D0B514B829}.cmd
    HKU\S-1-5-21-488265423-239198249-3424898979-13984\...\Run: [1Bitlock.exe] => C:\Users\user\AppData\Roaming\1Bitlock.exe [94720 2019-12-03] () [File not signed]
    HKU\S-1-5-21-488265423-239198249-3424898979-13984\...\Run: [C:\Users\user\AppData\Roaming\Info.hta] => C:\Users\user\AppData\Roaming\Info.hta [13931 2019-12-03] () [File not signed]
    Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Bitlock.exe [2019-12-03] () [File not signed]
    Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-12-03] () [File not signed]
    2019-12-03 17:11 - 2019-12-03 17:11 - 000013931 _____ C:\Users\user\AppData\Roaming\Info.hta
    2019-12-03 17:11 - 2019-12-03 17:11 - 000000178 _____ C:\Users\user\Desktop\FILES ENCRYPTED.txt
    2019-12-03 17:11 - 2019-12-03 17:11 - 000094720 _____ C:\Users\user\AppData\Roaming\1Bitlock.exe
    C:\Users\user\Music\back\NS.exe..exe
    Zip: c:\FRST\Quarantine\
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.
 
Процесс 1Bitlock убили вручную. Возможно ли восстановить зашифрованные файлы ?
 

Вложения

  • Fixlog_04-12-2019 14.36.00.txt
    3.2 KB · Просмотры: 1
В соседней теме я вам уже сказал, что расшифровки нет, увы.
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу