somenorthernguy
Новый пользователь
- Сообщения
- 11
- Реакции
- 0
-
Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Решена без расшифровки Зашифрованы файлы 3nity@tuta.io
- Автор темы somenorthernguy
- Дата начала
- Статус
- Сообщения
- 15,436
- Реакции
- 3,278
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction ? <==== ATTENTION Task: {48B14A33-D90B-4FE4-91D5-89BA1F200678} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet] 2019-05-10 23:27 - 2019-05-10 23:27 - 000003242 _____ C:\Windows\System32\Tasks\VssDataRestore 2019-05-10 23:27 - 2019-05-10 23:27 - 000001293 _____ C:\Users\adm\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-README.txt.doubleoffset 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Public\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Public\Downloads\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Default\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Default\Downloads\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Default\Documents\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Default\Desktop\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Default\AppData\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Default\AppData\Local\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Default User\Downloads\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Default User\Documents\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Default User\Desktop\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Default User\AppData\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Default User\AppData\Local\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\adm\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\adm\Downloads\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\adm\Documents\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\adm\Desktop\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\adm\AppData\Roaming\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\adm\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\adm\AppData\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\Users\adm\AppData\LocalLow\README.txt 2019-05-10 23:27 - 2019-05-10 23:27 - 000000061 _____ C:\README.txt 2019-05-10 23:26 - 2019-05-10 23:27 - 000001293 _____ C:\Users\Все пользователи\README.txt 2019-05-10 23:26 - 2019-05-10 23:27 - 000001293 _____ C:\Users\Все пользователи\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-README.txt.doubleoffset 2019-05-10 23:26 - 2019-05-10 23:27 - 000001293 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-README.txt.doubleoffset 2019-05-10 23:26 - 2019-05-10 23:27 - 000001293 _____ C:\Users\Public\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-README.txt.doubleoffset 2019-05-10 23:26 - 2019-05-10 23:27 - 000001293 _____ C:\Users\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-README.txt.doubleoffset 2019-05-10 23:26 - 2019-05-10 23:27 - 000001293 _____ C:\ProgramData\README.txt 2019-05-10 23:26 - 2019-05-10 23:27 - 000001293 _____ C:\ProgramData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-README.txt.doubleoffset 2019-05-10 23:26 - 2019-05-10 23:27 - 000000061 _____ C:\Users\README.txt 2019-05-10 23:26 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Public\Documents\README.txt 2019-05-10 23:26 - 2019-05-10 23:27 - 000000061 _____ C:\Users\Public\Desktop\README.txt 2019-05-10 23:26 - 2019-05-10 23:26 - 000000061 _____ C:\Users\adm\AppData\Local\README.txt 2019-05-10 23:26 - 2019-05-10 23:26 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt 2019-05-10 23:26 - 2019-05-10 23:26 - 000000061 _____ C:\Program Files\README.txt 2019-05-10 23:26 - 2019-05-10 23:26 - 000000061 _____ C:\Program Files\Common Files\README.txt 2019-05-10 23:26 - 2019-05-10 23:26 - 000000061 _____ C:\Program Files (x86)\README.txt 2019-05-06 02:15 - 2019-05-10 23:27 - 000006346 _____ C:\Users\adm\Downloads\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-how_to_back_files.html.doubleoffset 2019-05-06 02:15 - 2019-05-10 23:27 - 000006346 _____ C:\Users\adm\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-how_to_back_files.html.doubleoffset 2019-05-06 02:15 - 2019-05-10 23:26 - 000006346 _____ C:\Program Files\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-how_to_back_files.html.doubleoffset 2019-05-06 02:15 - 2019-05-10 23:26 - 000006346 _____ C:\Program Files (x86)\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-how_to_back_files.html.doubleoffset 2019-05-06 02:14 - 2019-05-10 23:27 - 000006346 _____ C:\Users\Public\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-how_to_back_files.html.doubleoffset 2019-05-06 02:14 - 2019-05-10 23:27 - 000006346 _____ C:\Users\Public\Downloads\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-how_to_back_files.html.doubleoffset 2019-05-06 02:14 - 2019-05-10 23:27 - 000006346 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-how_to_back_files.html.doubleoffset 2019-05-06 02:14 - 2019-05-10 23:27 - 000006346 _____ C:\Users\Public\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-how_to_back_files.html.doubleoffset 2019-05-06 02:14 - 2019-05-10 23:27 - 000006346 _____ C:\Users\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-how_to_back_files.html.doubleoffset 2019-05-06 02:14 - 2019-05-10 23:27 - 000006346 _____ C:\Users\Default\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-how_to_back_files.html.doubleoffset 2019-05-06 02:14 - 2019-05-10 23:27 - 000006346 _____ C:\Users\adm\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-how_to_back_files.html.doubleoffset 2019-05-06 02:14 - 2019-05-10 23:27 - 000006346 _____ C:\Users\adm\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-how_to_back_files.html.doubleoffset 2019-05-06 02:14 - 2019-05-10 23:27 - 000000000 ____D C:\Users\adm\AppData\Roaming\Process Hacker 2 2019-05-06 02:14 - 2019-05-10 23:26 - 000006346 _____ C:\Users\Все пользователи\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-how_to_back_files.html.doubleoffset 2019-05-06 02:14 - 2019-05-10 23:26 - 000006346 _____ C:\Users\adm\AppData\Local\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-how_to_back_files.html.doubleoffset 2019-05-06 02:14 - 2019-05-10 23:26 - 000006346 _____ C:\ProgramData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-1074442379-521042813369212368210056.fname-how_to_back_files.html.doubleoffset 2019-05-06 02:14 - 2019-05-06 02:14 - 000005040 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_back_files.html 2019-05-06 02:14 - 2019-05-06 02:14 - 000005040 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_back_files.html 2019-05-06 02:14 - 2019-05-06 02:14 - 000005040 _____ C:\Users\adm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_back_files.html 2019-05-06 02:14 - 2019-05-06 02:14 - 000005040 _____ C:\Users\adm\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_back_files.html 2019-05-06 02:14 - 2019-05-06 02:14 - 000005040 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\how_to_back_files.html 2019-05-06 02:14 - 2019-05-06 02:14 - 000005040 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_back_files.html AlternateDataStreams: C:\Users\Public\DRM:احتضان [48] Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
somenorthernguy
Новый пользователь
- Сообщения
- 11
- Реакции
- 0
Выполнил
- Сообщения
- 3,791
- Реакции
- 2,396
Картина следующая: 6 мая ночью файлы пострадали от шифратора GlobeImposter 2, для которого расшифровки нет. После этого в ночь с 10 на 11 поработал шифратор, по поводу которого Вы обратились. Ключ к нему я подобрал. Но вам несказанно повезет, если после работы дешифратора для него нужная информация будет пригодной для использования.
Ключ для расшифровки doubleoffset-файлов отправлен в ЛС.
Ключ для расшифровки doubleoffset-файлов отправлен в ЛС.
- Статус