• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Зашифрован виндовс 2008

twixers

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
1. Логи фарбар addition frst
2. зашифрованные файлы в 2ндфл.7z и файл с требованиями злоумышленников.
3. вирус найти не удалось
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,856
Реакции
13,544
Баллы
2,203
Что-то знакомое? Запускалось с внешнего накопителя
HKU\S-1-5-21-1137068239-2368128979-3795345146-1116\...\MountPoints2: {2fead552-43c7-11e2-b97f-806e6f6e6963} - E:\Run.exe

Проверьте список администраторов, нет ли лишних пользователей

Administrator (S-1-5-21-998822781-3121972130-669303095-500 - Administrator - Enabled)
root (S-1-5-21-1137068239-2368128979-3795345146-1107 - Administrator - Enabled) => C:\Users\root
ega (S-1-5-21-1137068239-2368128979-3795345146-1115 - Administrator - Enabled) => C:\Users\ega
bei (S-1-5-21-1137068239-2368128979-3795345146-1116 - Administrator - Enabled) => C:\Users\bei
kr (S-1-5-21-1137068239-2368128979-3795345146-1118 - Administrator - Enabled) => C:\Users\kr
ibtorg (S-1-5-21-1137068239-2368128979-3795345146-1136 - Administrator - Disabled) => C:\Users\ibtorg
admin$ (S-1-5-21-1137068239-2368128979-3795345146-1142 - Administrator - Enabled) => C:\Users\ADMIN$

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    Startup: C:\Users\ADMIN$\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\bei\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\ega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\ibtorg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\ivanovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\kr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\loi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\user2017\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\vev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    2019-11-05 01:04 - 2019-11-05 01:04 - 000000926 _____ C:\Windows\Tasks\HOW TO DECRYPT FILES.txt
    2019-11-05 01:04 - 2019-11-05 01:04 - 000000926 _____ C:\Windows\SysWOW64\HOW TO DECRYPT FILES.txt
    2019-11-05 01:04 - 2019-11-05 01:04 - 000000926 _____ C:\Windows\SysWOW64\Drivers\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Windows\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\root\HOW TO DECRYPT FILES.txt
    2019-11-05 01:00 - 2019-11-05 01:00 - 000000926 _____ C:\Users\root\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 01:00 - 2019-11-05 01:00 - 000000926 _____ C:\Users\root\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:59 - 2019-11-05 00:59 - 000000926 _____ C:\Users\root\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:59 - 2019-11-05 00:59 - 000000926 _____ C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:59 - 2019-11-05 00:59 - 000000926 _____ C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:58 - 2019-11-05 00:58 - 000000926 _____ C:\Users\root\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Default\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Default User\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\bei\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\ProgramData\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\ProgramData\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:53 - 2019-11-05 00:53 - 000000926 _____ C:\Users\bei\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
    2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\HOW TO DECRYPT FILES.txt
    2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\Administrator\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\ProgramData\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\ProgramData\HOW TO DECRYPT FILES.txt
    2019-11-05 00:45 - 2019-11-05 00:45 - 000000926 _____ C:\Program Files (x86)\HOW TO DECRYPT FILES.txt
    2019-11-05 00:41 - 2019-11-05 00:41 - 000000926 _____ C:\Program Files\HOW TO DECRYPT FILES.txt
    2019-11-05 00:41 - 2019-11-05 00:41 - 000000926 _____ C:\HOW TO DECRYPT FILES.txt
    2019-11-05 00:41 - 2019-11-05 00:41 - 000000926 _____ () C:\Program Files\HOW TO DECRYPT FILES.txt
    2019-11-05 00:45 - 2019-11-05 00:45 - 000000926 _____ () C:\Program Files (x86)\HOW TO DECRYPT FILES.txt
    2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ () C:\Users\bei\AppData\Local\HOW TO DECRYPT FILES.txt
    ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    ContextMenuHandlers4-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    WMI:subscription\__EventFilter->fuckyoumm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

По поводу расшифровки, в начале нужно опознать вымогателя, попросил коллегу, посмотреть (@thyrex )
 

twixers

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
Добрый день прилагаю fixlog.txt
Что-то знакомое? Запускалось с внешнего накопителя
HKU\S-1-5-21-1137068239-2368128979-3795345146-1116\...\MountPoints2: {2fead552-43c7-11e2-b97f-806e6f6e6963} - E:\Run.exe

Проверьте список администраторов, нет ли лишних пользователей

Administrator (S-1-5-21-998822781-3121972130-669303095-500 - Administrator - Enabled)
root (S-1-5-21-1137068239-2368128979-3795345146-1107 - Administrator - Enabled) => C:\Users\root
ega (S-1-5-21-1137068239-2368128979-3795345146-1115 - Administrator - Enabled) => C:\Users\ega
bei (S-1-5-21-1137068239-2368128979-3795345146-1116 - Administrator - Enabled) => C:\Users\bei
kr (S-1-5-21-1137068239-2368128979-3795345146-1118 - Administrator - Enabled) => C:\Users\kr
ibtorg (S-1-5-21-1137068239-2368128979-3795345146-1136 - Administrator - Disabled) => C:\Users\ibtorg
admin$ (S-1-5-21-1137068239-2368128979-3795345146-1142 - Administrator - Enabled) => C:\Users\ADMIN$

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    Startup: C:\Users\ADMIN$\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\bei\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\ega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\ibtorg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\ivanovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\kr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\loi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\user2017\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    Startup: C:\Users\vev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
    2019-11-05 01:04 - 2019-11-05 01:04 - 000000926 _____ C:\Windows\Tasks\HOW TO DECRYPT FILES.txt
    2019-11-05 01:04 - 2019-11-05 01:04 - 000000926 _____ C:\Windows\SysWOW64\HOW TO DECRYPT FILES.txt
    2019-11-05 01:04 - 2019-11-05 01:04 - 000000926 _____ C:\Windows\SysWOW64\Drivers\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Windows\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
    2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\root\HOW TO DECRYPT FILES.txt
    2019-11-05 01:00 - 2019-11-05 01:00 - 000000926 _____ C:\Users\root\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 01:00 - 2019-11-05 01:00 - 000000926 _____ C:\Users\root\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:59 - 2019-11-05 00:59 - 000000926 _____ C:\Users\root\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:59 - 2019-11-05 00:59 - 000000926 _____ C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:59 - 2019-11-05 00:59 - 000000926 _____ C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:58 - 2019-11-05 00:58 - 000000926 _____ C:\Users\root\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Default\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Default User\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\bei\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\ProgramData\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\ProgramData\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:53 - 2019-11-05 00:53 - 000000926 _____ C:\Users\bei\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
    2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\HOW TO DECRYPT FILES.txt
    2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\Administrator\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\Downloads\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\Documents\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\Desktop\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\ProgramData\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
    2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\ProgramData\HOW TO DECRYPT FILES.txt
    2019-11-05 00:45 - 2019-11-05 00:45 - 000000926 _____ C:\Program Files (x86)\HOW TO DECRYPT FILES.txt
    2019-11-05 00:41 - 2019-11-05 00:41 - 000000926 _____ C:\Program Files\HOW TO DECRYPT FILES.txt
    2019-11-05 00:41 - 2019-11-05 00:41 - 000000926 _____ C:\HOW TO DECRYPT FILES.txt
    2019-11-05 00:41 - 2019-11-05 00:41 - 000000926 _____ () C:\Program Files\HOW TO DECRYPT FILES.txt
    2019-11-05 00:45 - 2019-11-05 00:45 - 000000926 _____ () C:\Program Files (x86)\HOW TO DECRYPT FILES.txt
    2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ () C:\Users\bei\AppData\Local\HOW TO DECRYPT FILES.txt
    ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    ContextMenuHandlers4-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    WMI:subscription\__EventFilter->fuckyoumm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

По поводу расшифровки, в начале нужно опознать вымогателя, попросил коллегу, посмотреть (@thyrex )
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,856
Реакции
13,544
Баллы
2,203
Несколько раз запускать не нужно было скрипт. По поводу расшифровки, похоже есть шанс. Ожидайте.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,540
Баллы
593
C:\Windows\system32\max.exe проверьте на virustotal.com и пришлите ссылку на результат анализа
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,540
Баллы
593
В расшифровке Вам поможет Emsisoft Decryptor for Xorist
Распакуйте в папку со скачанным дешифратором пару файлов из вложения

Инструкция по применению на английском https://decrypter.emsisoft.com/howtos/emsisoft_howto_xorist.pdf

Ключ будет подобран где-то после 23%

Учтите, что из-за длинного нового расширения, которое получили зашифрованные файлы, возможно возникновение проблемы с длинными путями к файлам.
Это может быть критично на старых системах файловой системой FAT32. Возникнет ли проблема на NTFS-разделах, ответить затрудняюсь. Поэтому зашифрованные файлы удаляйте только после проверки корректности расшифровки.

Результат расшифровки сообщите.
 

Вложения

twixers

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
В расшифровке Вам поможет Emsisoft Decryptor for Xorist
Распакуйте в папку со скачанным дешифратором пару файлов из вложения

Инструкция по применению на английском https://decrypter.emsisoft.com/howtos/emsisoft_howto_xorist.pdf

Ключ будет подобран где-то после 23%

Учтите, что из-за длинного нового расширения, которое получили зашифрованные файлы, возможно возникновение проблемы с длинными путями к файлам.
Это может быть критично на старых системах файловой системой FAT32. Возникнет ли проблема на NTFS-разделах, ответить затрудняюсь. Поэтому зашифрованные файлы удаляйте только после проверки корректности расшифровки.

Результат расшифровки сообщите.
Спасибо вам большое ребята! Все дешифровалось без проблем, файлы восстановлены!
 

akok

Команда форума
Администратор
Сообщения
17,856
Реакции
13,544
Баллы
2,203
Сверху Снизу