Решена с расшифровкой. Зашифрованы файлы 3nity@tuta.io pc3

leonov_mishka

Новый пользователь
Сообщения
14
Реакции
0
Баллы
1
Добрый день.
Подверглись атаке шифроватора, пожалуйста, окажите помощь в расшифровке.
Необходимые операции по логам АВЗ и отчётам FRST сделаны, и, прикреплены два шифрованных файла. Всё в zip файле вложения.

Заранее большое спасибо!
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,491
Реакции
2,477
Баллы
593
1. Выделите следующий код:
Код:
Start::
CreateRestorePoint:
2019-05-09 16:04 - 2019-05-09 16:04 - 000000061 _____ C:\Users\voronin\README.txt
2019-05-09 16:04 - 2019-05-09 16:04 - 000000061 _____ C:\Users\voronin\Downloads\README.txt
2019-05-09 16:04 - 2019-05-09 16:04 - 000000061 _____ C:\Users\voronin\Documents\README.txt
2019-05-09 16:04 - 2019-05-09 16:04 - 000000061 _____ C:\Users\voronin\Desktop\README.txt
2019-05-09 16:04 - 2019-05-09 16:04 - 000000061 _____ C:\Users\voronin\AppData\Roaming\README.txt
2019-05-09 16:04 - 2019-05-09 16:04 - 000000061 _____ C:\Users\voronin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 16:04 - 2019-05-09 16:04 - 000000061 _____ C:\Users\voronin\AppData\README.txt
2019-05-09 16:04 - 2019-05-09 16:04 - 000000061 _____ C:\Users\voronin\AppData\LocalLow\README.txt
2019-05-09 16:04 - 2019-05-09 16:04 - 000000061 _____ C:\Users\README.txt
2019-05-09 16:04 - 2019-05-09 16:04 - 000000061 _____ C:\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\voronin\AppData\Local\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Public\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Public\Downloads\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\nx\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\nx\Downloads\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\nx\Documents\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\nx\Desktop\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\nx\AppData\Roaming\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\nx\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\nx\AppData\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\nx\AppData\LocalLow\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\nx\AppData\Local\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Default\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Default\Downloads\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Default\Documents\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Default\Desktop\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Default\AppData\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Default\AppData\Local\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Default User\Documents\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Default User\AppData\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Default User\AppData\Local\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\babiy\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\babiy\Downloads\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\babiy\Documents\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\babiy\Desktop\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\babiy\AppData\Roaming\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\babiy\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\babiy\AppData\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\babiy\AppData\LocalLow\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\babiy\AppData\Local\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\admin\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\admin\Downloads\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\admin\Documents\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\admin\Desktop\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\admin\AppData\Roaming\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\admin\AppData\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\admin\AppData\LocalLow\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\admin\AppData\Local\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\!leonov\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\!leonov\Downloads\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\!leonov\Documents\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\!leonov\Desktop\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\!leonov\AppData\Roaming\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\!leonov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\!leonov\AppData\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\!leonov\AppData\LocalLow\README.txt
2019-05-09 16:03 - 2019-05-09 16:03 - 000000061 _____ C:\Users\!leonov\AppData\Local\README.txt
2019-05-09 16:02 - 2019-05-09 16:04 - 000001262 _____ C:\Users\Все пользователи\README.txt
2019-05-09 16:02 - 2019-05-09 16:04 - 000001262 _____ C:\ProgramData\README.txt
2019-05-09 16:02 - 2019-05-09 16:03 - 000001262 _____ C:\Users\Все пользователи\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-09 16:02 - 2019-05-09 16:03 - 000001262 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-09 16:02 - 2019-05-09 16:03 - 000001262 _____ C:\Users\Public\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-09 16:02 - 2019-05-09 16:03 - 000001262 _____ C:\Users\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-09 16:02 - 2019-05-09 16:03 - 000001262 _____ C:\ProgramData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-09 16:02 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Public\Documents\README.txt
2019-05-09 16:02 - 2019-05-09 16:03 - 000000061 _____ C:\Users\Public\Desktop\README.txt
2019-05-09 16:02 - 2019-05-09 16:02 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-05-09 16:02 - 2019-05-09 16:02 - 000000061 _____ C:\Program Files\README.txt
2019-05-09 16:02 - 2019-05-09 16:02 - 000000061 _____ C:\Program Files\Common Files\README.txt
2019-05-09 16:02 - 2019-05-09 16:02 - 000000061 _____ C:\Program Files (x86)\README.txt
2019-05-09 16:01 - 2019-03-29 19:16 - 000471040 _____ C:\Users\!leonov\Desktop\ruch.exe
2019-05-09 15:54 - 2019-05-09 16:04 - 000472228 _____ C:\Users\voronin\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-ruch.exe.doubleoffset
2019-05-09 15:54 - 2019-05-09 16:04 - 000000000 ____D C:\Users\voronin\Desktop\taskmgr
2019-05-09 15:47 - 2019-05-09 16:03 - 000000000 ____D C:\Users\!leonov\Desktop\taskmgr
2019-05-09 15:47 - 2019-05-09 16:03 - 000000000 ____D C:\Users\!leonov\AppData\Roaming\Process Hacker 2
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 

akok

Команда форума
Администратор
Сообщения
16,705
Реакции
13,182
Баллы
2,203
Ждите ответа @thyrex по поводу расшифровки. И пароли на RDP смените.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,491
Реакции
2,477
Баллы
593
Отправил ключ.
 

leonov_mishka

Новый пользователь
Сообщения
14
Реакции
0
Баллы
1
Отправил ключ.
Всё расшифровало! Большое спасибо за оказанную помощь. Это заслуживает оваций и доната!
Единственный вопрос: В логе местами были отметки на IO error - что это может быть?
 

akok

Команда форума
Администратор
Сообщения
16,705
Реакции
13,182
Баллы
2,203
Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения


В логе местами были отметки на IO error - что это может быть?
Проблема или в длинных путях или разрешениях. Попробуйте перенести в отдельную папку и запустить процесс заново
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,491
Реакции
2,477
Баллы
593
В логе местами были отметки на IO error - что это может быть?
Все, что угодно это может быть, даже при работе с незашифрованными файлами. Ибо дешифратор не перебирает их по конкретному расширению.
 
Сверху Снизу