• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Зашифрованы файлы. Помогите пожалуйста! [opensafezona@cock.li].safe

Статус
В этой теме нельзя размещать новые ответы.
A

AntonMie

Новый пользователь
Сообщения
6
Реакции
0
Добрый день.
С утра включили компьютер и обнаружили, что все файлы зашифрованы.
На компьютере много полезной информации
Названия всех файлов такого вида: Список.xlsx[id-Rlzqd9fD].[opensafezona@cock.li].safe
Подскажите пожалуйста, есть какой-то шанс справиться с этим?
Файлы логов Farbar Scan и образцы зашифрованных файлов приготовил, добавлю вложением.
Очень надеюсь на то, что не всё потеряно.
За ранее благодарен команде за Вашу работу!
 

Вложения

В карантине антивируса шифровальщик есть? Ждите ответа @thyrex о возможности расшифровки.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
2019-10-02 00:04 - 2019-10-02 00:04 - 000000172 _____ C:\Users\Наталья\AppData\Roaming\kWYZrzIYZR.html
2019-10-01 23:55 - 2019-10-02 00:04 - 000004969 _____ C:\Program Files (x86)\=_BACK_FILES_~.html
2019-10-01 23:54 - 2019-10-02 00:04 - 000004969 _____ C:\Program Files\Common Files\=_BACK_FILES_~.html
2019-10-01 23:54 - 2019-10-02 00:04 - 000004969 _____ C:\Program Files\=_BACK_FILES_~.html
2019-10-01 23:54 - 2019-10-02 00:04 - 000004969 _____ C:\=_BACK_FILES_~.html
2019-10-01 22:55 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\Documents\=_BACK_FILES_~.html
2019-10-01 22:55 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\Desktop\=_BACK_FILES_~.html
2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\AppData\Roaming\=_BACK_FILES_~.html
2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\AppData\LocalLow\=_BACK_FILES_~.html
2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\AppData\Local\=_BACK_FILES_~.html
2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\AppData\=_BACK_FILES_~.html
2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\=_BACK_FILES_~.html
2019-10-01 22:53 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\Downloads\=_BACK_FILES_~.html
2019-10-01 22:53 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\Documents\=_BACK_FILES_~.html
2019-10-01 22:53 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\Desktop\=_BACK_FILES_~.html
2019-10-01 22:52 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\AppData\Roaming\=_BACK_FILES_~.html
2019-10-01 22:52 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\AppData\LocalLow\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Все пользователи\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\AppData\Local\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\AppData\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Public\Documents\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Public\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default\Documents\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default\Desktop\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default\AppData\Roaming\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default\AppData\Local\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default\AppData\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default User\Documents\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default User\Desktop\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default User\AppData\Roaming\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default User\AppData\Local\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default User\AppData\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default User\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\=_BACK_FILES_~.html
2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\ProgramData\=_BACK_FILES_~.html
2019-10-01 22:16 - 2019-10-01 22:16 - 000001612 _____ C:\Users\Наталья\Documents\kfGnrbH.html
2019-10-01 22:16 - 2019-10-01 22:16 - 000001612 _____ C:\Users\Наталья\AppData\Roaming\kfGnrbH.html
2019-10-01 22:16 - 2019-10-01 22:16 - 000001612 _____ C:\Program Files\kfGnrbH.html
2019-10-01 22:16 - 2019-10-01 22:16 - 000000002 _____ C:\Users\Наталья\AppData\Roaming\GavyZYQ.html
2019-10-01 23:54 - 2019-10-02 00:04 - 000004969 _____ () C:\Program Files\=_BACK_FILES_~.html
2019-10-01 22:16 - 2019-10-01 22:16 - 000001612 _____ () C:\Program Files\kfGnrbH.html
2019-10-01 23:55 - 2019-10-02 00:04 - 000004969 _____ () C:\Program Files (x86)\=_BACK_FILES_~.html
2019-10-01 23:54 - 2019-10-02 00:04 - 000004969 _____ () C:\Program Files\Common Files\=_BACK_FILES_~.html
2019-10-01 23:55 - 2019-10-02 00:04 - 000004969 _____ () C:\Program Files (x86)\Common Files\=_BACK_FILES_~.html
2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ () C:\Users\Наталья\AppData\Roaming\=_BACK_FILES_~.html
2019-10-01 22:16 - 2019-10-01 22:16 - 000000002 _____ () C:\Users\Наталья\AppData\Roaming\GavyZYQ.html
2019-10-01 22:16 - 2019-10-01 22:16 - 000001612 _____ () C:\Users\Наталья\AppData\Roaming\kfGnrbH.html
2019-10-02 00:04 - 2019-10-02 00:04 - 000000172 _____ () C:\Users\Наталья\AppData\Roaming\kWYZrzIYZR.html
2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ () C:\Users\Наталья\AppData\Roaming\Microsoft\=_BACK_FILES_~.html
2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ () C:\Users\Наталья\AppData\Local\=_BACK_FILES_~.html
ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
FirewallRules: [{527D6110-6C0D-4A5F-9CE1-E1B6C411E8CB}] => (Allow) C:\Users\Администратор\AppData\Local\Temp\7ZipSfx.000\bin\tools\aria2c.exe No File
FirewallRules: [{E16CE42B-7C1F-4F0C-914B-26929DE97BC5}] => (Allow) C:\Users\Администратор\AppData\Roaming\DRPSu\Alice\cloud.exe No File
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Спасибо.
Выполнил, файл fixlog прикрепляю.
По нему понятно будет, всё ли я верно сделал?
...В карантине антивируса ничего нет
 

Вложения

Запускать два раза не стоило.
 
Прошу прощения за невнимательность..
Запустил второй раз, из-за того, что в первый не создал файл fixlisc с Вашим кодом и запустил ФИКС
Неужели всё потеряно?..(
 
Без тела шифратора сказать что-то опредленное невозможно.
 
Где-то или чем-то его можно обнаружить?
Помогите пожалуйста, я прям не теряю надежду на чудо...
 
В логах его нет, а значит он наверняка самоуничтожился после выполнения черного дела.
 
Возможно какой-то универсальный дешифратор от opensafezona может подойти, хотя бы вылечить малую часть файлов, хотя бы попробовать.
Нет рекомендации либо ссылки где почитать об этом?
Извините за назойливость и спасибо за понимание
 
Универсальный дешифратор может быть только в том случае если удастся его создать. В теперешнем состоянии ключи есть только у злоумышленников. Еще можно попробовать восстановить бд 1с (ссылка в подписи).
 
Очень жаль... Тогда последний вопрос..(
Если отформатировать все жесткие диски и переустановить систему вируса не останется?
 
+ смените пароли для учеток которые используют RDP. От вируса и так ничего не осталось, после шифрования он самоудалился, а следы мы подчистили.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

М
Решена без расшифровки Файлы зашифрованы CryLock 2.0.0.0 (259461356@qq.com)
Ответы
2
Просмотры
54
Sandor
Sandor
indigerr
Закрыто Файлы зашифрованы Trojan.Encoder.37373
Ответы
2
Просмотры
136
indigerr
indigerr
E
Решена без расшифровки Все файлы зашифрованы
Ответы
5
Просмотры
463
akok
akok
Назад
Сверху Снизу