Решена без расшифровки Зашифровало файлы nightmare@yahoo.com ver-CL 1.3.1.0

[grarara]

Добрый день, прошу помочь с дешифровкой файлов. Зашифровало у дизайнера диск, я так понимаю где то из интернета хватанула , не признается) все файлы пошифровало в формате:
email-n_nightmare@yahoo.com.ver-CL 1.3.1.0.id-@@@@@8097-D0C3.randomname-JKLLMMNOOPPPQRSSTUUUVWWXYYYZZA.BCD.ddd
а также создались файлы Readme.txt с содержимым : write you country to n_nightmare@yahoo.com

Сделал как в руководстве лог файлов. Прикрепил.
Заранее спасибо

 

[Sandor]

Здравствуйте!

Расшифровки этой версии вымогателя нет, к сожалению.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Unchecky v1.2

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[grarara]

Вот

 

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction ? <==== ATTENTION
  Task: {4E292C89-46DD-4734-AD29-FBE4F85D3A58} - System32\Tasks\Driver Booster SkipUAC (Design) => C:\Program Files (x86)\IObit\Driver Booster\4.5.0\DriverBooster.exe
  2019-05-28 11:55 - 2019-05-28 11:55 - 000000060 _____ C:\Program Files\Common Files\README.txt
  2019-05-28 08:53 - 2019-05-28 10:44 - 000000060 _____ C:\Users\Default\README.txt
  2019-05-28 08:53 - 2019-05-28 10:44 - 000000060 _____ C:\Users\Default\Documents\README.txt
  2019-05-28 08:53 - 2019-05-28 10:44 - 000000060 _____ C:\Users\Default\AppData\Roaming\README.txt
  2019-05-28 08:53 - 2019-05-28 10:44 - 000000060 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-05-28 08:53 - 2019-05-28 10:44 - 000000060 _____ C:\Users\Default\AppData\Local\README.txt
  2019-05-28 08:53 - 2019-05-28 10:44 - 000000060 _____ C:\Users\Default User\Documents\README.txt
  2019-05-28 08:53 - 2019-05-28 10:44 - 000000060 _____ C:\Users\Default User\AppData\Roaming\README.txt
  2019-05-28 08:53 - 2019-05-28 10:44 - 000000060 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-05-28 08:53 - 2019-05-28 10:44 - 000000060 _____ C:\Users\Default User\AppData\Local\README.txt
  2019-05-28 08:38 - 2019-05-28 10:48 - 000000060 _____ C:\Users\Все пользователи\README.txt
  2019-05-28 08:38 - 2019-05-28 10:48 - 000000060 _____ C:\Users\Public\Documents\README.txt
  2019-05-28 08:38 - 2019-05-28 10:48 - 000000060 _____ C:\Users\Public\Desktop\README.txt
  2019-05-28 08:38 - 2019-05-28 10:48 - 000000060 _____ C:\ProgramData\README.txt
  2019-05-28 08:38 - 2019-05-28 10:48 - 000000060 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
  2019-05-28 07:15 - 2019-05-28 10:50 - 000000060 _____ C:\Users\README.txt
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Пароль на RDP смените.

 

[grarara]

вот

 

[Sandor]

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[grarara]

вот

 

[Sandor]

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено (-1)
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499164 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.6 v.4.6.00081 Внимание! Скачать обновления
Microsoft .NET Framework 4.6 (русский) v.4.6.00081 Внимание! Скачать обновления
TeamViewer 13 v.13.2.36215 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45231 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

Первые два блока выполните обязательно.

Читайте Рекомендации после удаления вредоносного ПО

 

[grarara]

окей, сделаю. Вопрос , много ли на данный момент зараженных этим шифровальщиком?
я так понял это Cryakl , только с другим ключом. Как вы думаете сколько времени пройдёт до момента выпуска дешифратора?
Спасибо вам

 

[akok]

Для этой версии, скорее всего тогда, когда арестуют сервера злоумышленников... или они сами опубликуют базу ключей.

 

[grarara]

Весело

 

[Sandor]

Видна вчерашняя контрольная точка.
Попробуйте восстановить файлы средствами Windows.
Будьте внимательны, это не значит "откатиться" на точку восстановления.

 

[grarara]

проверил, там она только на системные файлы, да они в принципе на диске с не сильно пострадали, там отдельно был диск подкинут на 2тб и его шифрануло)