• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Зашифрованы файлы email-nightmare666@cock.li.ver-CL 1.5.1.0

1. Выделите следующий код:
Код:
Start::
CreateRestorePoint:
2019-06-09 08:50 - 2019-06-09 08:50 - 000000082 _____ C:\Users\Public\README.txt
2019-06-09 08:50 - 2019-06-09 08:50 - 000000082 _____ C:\Users\Public\Downloads\README.txt
2019-06-09 08:50 - 2019-06-09 08:50 - 000000082 _____ C:\Users\infostart\README.txt
2019-06-09 08:50 - 2019-06-09 08:50 - 000000082 _____ C:\Users\infostart\Downloads\README.txt
2019-06-09 08:50 - 2019-06-09 08:50 - 000000082 _____ C:\Users\infostart\Documents\README.txt
2019-06-09 08:50 - 2019-06-09 08:50 - 000000082 _____ C:\Users\infostart\Desktop\README.txt
2019-06-09 08:50 - 2019-06-09 08:50 - 000000082 _____ C:\Users\infostart\AppData\Roaming\README.txt
2019-06-09 08:50 - 2019-06-09 08:50 - 000000082 _____ C:\Users\infostart\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-09 08:50 - 2019-06-09 08:50 - 000000082 _____ C:\Users\infostart\AppData\README.txt
2019-06-09 08:50 - 2019-06-09 08:50 - 000000082 _____ C:\Users\infostart\AppData\LocalLow\README.txt
2019-06-09 08:50 - 2019-06-09 08:50 - 000000082 _____ C:\Users\infostart\AppData\Local\Temp\README.txt
2019-06-09 08:49 - 2019-06-09 08:50 - 000001279 _____ C:\Users\Public\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-09 08:49 - 2019-06-09 08:50 - 000001279 _____ C:\ProgramData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-09 08:49 - 2019-06-09 08:50 - 000000082 _____ C:\Users\Public\Documents\README.txt
2019-06-09 08:49 - 2019-06-09 08:50 - 000000082 _____ C:\ProgramData\README.txt
Startup: C:\Users\ASPNET\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk [2018-01-29]
ShortcutTarget: Punto Switcher.lnk -> C:\Users\Shadrin\AppData\Roaming\Punto\lsass.exe (No File)
Startup: C:\Users\Vasilii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk [2018-06-06]
ShortcutTarget: Punto Switcher.lnk -> C:\Users\Shadrin\AppData\Roaming\Punto\lsass.exe (No File)
MSCONFIG\startupreg: MinerGateGui => C:\Users\Shadrin\Downloads\MinerGate\inergate.exe --auto
MSCONFIG\startupreg: Windows Driver Service => C:\ProgramData\service.exe
File: C:\Windows\SysWOW64\slmgr.vbs
File: C:\Windows\SysWOW64\winver.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
 
Увы, с расшифровкойне сможем помочь.
 
По возможности исправьте:

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.1 v.4.7.02558 Warning! Download Update
Microsoft Office Excel 2007 v.12.0.4518.1014 Warning! This software is no longer supported. Please use latest Microsift Office, Office Online or LibreOffice
Microsoft Office Word 2007 v.12.0.4518.1014 Warning! This software is no longer supported. Please use latest Microsift Office, Office Online or LibreOffice
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.20 (64-bit) v.5.20.0 Warning! Download Update
------------------------------- [ Browser ] -------------------------------
Google Chrome v.74.0.3729.169 Warning! Download Update
 
Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
 
Это от какого-то другого шифровщика. У вас ведь было нечто подобное email-nightmare666[@]cock[.]li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
 
  • Like
Реакции: akok
И дыру в виде легкого пароля для RDP прикройте уже. Через нее к Вам залез очередной шифратор похоже.
 
Назад
Сверху Снизу