Решена без расшифровки Win10 x64 [myfilez1@tutanota.com].harma

[=mm=]

Добрый день!

Ноут использовался как терминал дома, для доступа из вне по RDP, пароль был простой, 4 цифры. Давно не мог на него зайти, тут решил разобраться почему, и немного был ошарашен, он весь зашифровался еще 03.03.2020, ну я по закрывал все окна с требованиями, перезагрузил, но включается, но зашифровал реально все, можете помочь? Файлы зашифрованные в архиве. То что отсканировал тоже прикрепил.

 

[akok]

Для этого вымогателя пока нет способа дешифровки данных. Можем только мусор зачистить.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13930 2020-03-03] () [File not signed]
  HKLM\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => C:\Users\Admin\AppData\Roaming\Info.hta [13930 2020-03-03] () [File not signed]
  Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
  GroupPolicy: Restriction ? <==== ATTENTION
  2020-03-03 16:42 - 2020-03-03 16:42 - 000013930 _____ () C:\Users\Admin\AppData\Roaming\Info.hta
  ContextMenuHandlers2: [AlcoholShellEx] -> {32020A01-506E-484D-A2A8-BE3CF17601C3} =>  -> No File
  ContextMenuHandlers2: [AlcoholShellEx64] -> {AF67B665-D752-424E-9A03-C7C218F2844F} =>  -> No File
  ContextMenuHandlers2: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll -> No File
  ContextMenuHandlers4: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll -> No File
  ContextMenuHandlers6: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll -> No File
  FirewallRules: [{F09A3EFC-AD4B-4822-AA6C-7AD89AC30911}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
  FirewallRules: [{5AD21129-3DC6-469B-8D69-BE8D3BBE676D}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
  FirewallRules: [{256AB2BB-1091-4AAF-8D00-BC4AAAB8CAD9}] => (Allow) C:\Users\Admin\AppData\Roaming\uTorrent\uTorrent.exe No File
  FirewallRules: [{37D00218-88BB-44F2-8FA1-6D7B6A40BEE3}] => (Allow) C:\Users\Admin\AppData\Roaming\uTorrent\uTorrent.exe No File
  FirewallRules: [{F89244C1-4813-4DC4-87BA-C8131D44653C}] => (Block) C:\program files (x86)\java\jre1.8.0_66\bin\jp2launcher.exe No File
  FirewallRules: [{B8389319-161A-4B2D-8329-1A7845C966D2}] => (Block) C:\program files (x86)\java\jre1.8.0_66\bin\jp2launcher.exe No File
  FirewallRules: [{C6441B27-DAAF-46E7-A004-54133E280C40}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe No File
  FirewallRules: [{36DC0B46-905B-4222-8025-9B75C2DC3A7D}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe No File
  FirewallRules: [{9EB3E0B7-011B-42F9-8893-72320F2F52B2}] => (Allow) C:\Program Files\iTunes\iTunes.exe No File
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[=mm=]

Готово

 

[akok]

EmptyTemp: => 5952041691.6 GB temporary data Removed. - это сколько у вас под системный диск то выделено )))

Подготовьте лог SecurityCheck by glax24

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

[=mm=]

Это не правда, там жесткий диск на 256 гб SSD стоит в ноуте и больше нет ничего... я сам видел эту цифру и удивился.

 

[=mm=]

антивирусной утилиты AVZ - это и есть SecurityCheckH.exe ?

 

[=mm=]

Сведения о файле:

Размер файла, байт:	40950536
MD5:	F158CFB06D5E72BEEF8FE2DC2314BC25

Файл успешно загружен и поставлен в очередь на обработку, спасибо!

 

[akok]

Она идет отдельно

https://safezone.cc/resources/security-check-by-glax24.25/

 

[=mm=]

Вот вчера еще сделал его

 

[Sandor]

--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer 13 v.13.2.26558 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.44994 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 66 v.8.0.660.18 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u241-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.7.3.46 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^

 

[=mm=]

вопрос в том, эту винду есть смысл держать, или проще переустановить?

 

[Sandor]

Как хотите. Активного заражения нет, можно пользоваться и соблюдать рекомендации.

 

[=mm=]

понял, но расшифровать ничего не получится?

 

[Sandor]

Увы, нет. Если речь идет о базах данных, есть шанс их восстановить (не расшифровать). Подробности здесь.