• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Зашифрованы файлы. Помогите пожалуйста! [opensafezona@cock.li].safe

Статус
В этой теме нельзя размещать новые ответы.

AntonMie

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Добрый день.
С утра включили компьютер и обнаружили, что все файлы зашифрованы.
На компьютере много полезной информации
Названия всех файлов такого вида: Список.xlsx[id-Rlzqd9fD].[opensafezona@cock.li].safe
Подскажите пожалуйста, есть какой-то шанс справиться с этим?
Файлы логов Farbar Scan и образцы зашифрованных файлов приготовил, добавлю вложением.
Очень надеюсь на то, что не всё потеряно.
За ранее благодарен команде за Вашу работу!
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,781
Реакции
13,521
Баллы
2,203
В карантине антивируса шифровальщик есть? Ждите ответа @thyrex о возможности расшифровки.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-10-02 00:04 - 2019-10-02 00:04 - 000000172 _____ C:\Users\Наталья\AppData\Roaming\kWYZrzIYZR.html
    2019-10-01 23:55 - 2019-10-02 00:04 - 000004969 _____ C:\Program Files (x86)\=_BACK_FILES_~.html
    2019-10-01 23:54 - 2019-10-02 00:04 - 000004969 _____ C:\Program Files\Common Files\=_BACK_FILES_~.html
    2019-10-01 23:54 - 2019-10-02 00:04 - 000004969 _____ C:\Program Files\=_BACK_FILES_~.html
    2019-10-01 23:54 - 2019-10-02 00:04 - 000004969 _____ C:\=_BACK_FILES_~.html
    2019-10-01 22:55 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\Documents\=_BACK_FILES_~.html
    2019-10-01 22:55 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\Desktop\=_BACK_FILES_~.html
    2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\AppData\LocalLow\=_BACK_FILES_~.html
    2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\AppData\Local\=_BACK_FILES_~.html
    2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\AppData\=_BACK_FILES_~.html
    2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\=_BACK_FILES_~.html
    2019-10-01 22:53 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\Downloads\=_BACK_FILES_~.html
    2019-10-01 22:53 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\Documents\=_BACK_FILES_~.html
    2019-10-01 22:53 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\Desktop\=_BACK_FILES_~.html
    2019-10-01 22:52 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-01 22:52 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\AppData\LocalLow\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Все пользователи\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\AppData\Local\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\AppData\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Public\Documents\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Public\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default\Documents\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default\Desktop\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default\AppData\Local\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default\AppData\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default User\Documents\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default User\Desktop\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default User\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default User\AppData\Local\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default User\AppData\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default User\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\ProgramData\=_BACK_FILES_~.html
    2019-10-01 22:16 - 2019-10-01 22:16 - 000001612 _____ C:\Users\Наталья\Documents\kfGnrbH.html
    2019-10-01 22:16 - 2019-10-01 22:16 - 000001612 _____ C:\Users\Наталья\AppData\Roaming\kfGnrbH.html
    2019-10-01 22:16 - 2019-10-01 22:16 - 000001612 _____ C:\Program Files\kfGnrbH.html
    2019-10-01 22:16 - 2019-10-01 22:16 - 000000002 _____ C:\Users\Наталья\AppData\Roaming\GavyZYQ.html
    2019-10-01 23:54 - 2019-10-02 00:04 - 000004969 _____ () C:\Program Files\=_BACK_FILES_~.html
    2019-10-01 22:16 - 2019-10-01 22:16 - 000001612 _____ () C:\Program Files\kfGnrbH.html
    2019-10-01 23:55 - 2019-10-02 00:04 - 000004969 _____ () C:\Program Files (x86)\=_BACK_FILES_~.html
    2019-10-01 23:54 - 2019-10-02 00:04 - 000004969 _____ () C:\Program Files\Common Files\=_BACK_FILES_~.html
    2019-10-01 23:55 - 2019-10-02 00:04 - 000004969 _____ () C:\Program Files (x86)\Common Files\=_BACK_FILES_~.html
    2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ () C:\Users\Наталья\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-01 22:16 - 2019-10-01 22:16 - 000000002 _____ () C:\Users\Наталья\AppData\Roaming\GavyZYQ.html
    2019-10-01 22:16 - 2019-10-01 22:16 - 000001612 _____ () C:\Users\Наталья\AppData\Roaming\kfGnrbH.html
    2019-10-02 00:04 - 2019-10-02 00:04 - 000000172 _____ () C:\Users\Наталья\AppData\Roaming\kWYZrzIYZR.html
    2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ () C:\Users\Наталья\AppData\Roaming\Microsoft\=_BACK_FILES_~.html
    2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ () C:\Users\Наталья\AppData\Local\=_BACK_FILES_~.html
    ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    FirewallRules: [{527D6110-6C0D-4A5F-9CE1-E1B6C411E8CB}] => (Allow) C:\Users\Администратор\AppData\Local\Temp\7ZipSfx.000\bin\tools\aria2c.exe No File
    FirewallRules: [{E16CE42B-7C1F-4F0C-914B-26929DE97BC5}] => (Allow) C:\Users\Администратор\AppData\Roaming\DRPSu\Alice\cloud.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

AntonMie

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Спасибо.
Выполнил, файл fixlog прикрепляю.
По нему понятно будет, всё ли я верно сделал?
...В карантине антивируса ничего нет
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,781
Реакции
13,521
Баллы
2,203
Запускать два раза не стоило.
 

AntonMie

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Прошу прощения за невнимательность..
Запустил второй раз, из-за того, что в первый не создал файл fixlisc с Вашим кодом и запустил ФИКС
Неужели всё потеряно?..(
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,539
Баллы
593
Без тела шифратора сказать что-то опредленное невозможно.
 

AntonMie

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Где-то или чем-то его можно обнаружить?
Помогите пожалуйста, я прям не теряю надежду на чудо...
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,752
Реакции
2,539
Баллы
593
В логах его нет, а значит он наверняка самоуничтожился после выполнения черного дела.
 

AntonMie

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Возможно какой-то универсальный дешифратор от opensafezona может подойти, хотя бы вылечить малую часть файлов, хотя бы попробовать.
Нет рекомендации либо ссылки где почитать об этом?
Извините за назойливость и спасибо за понимание
 

akok

Команда форума
Администратор
Сообщения
17,781
Реакции
13,521
Баллы
2,203
Универсальный дешифратор может быть только в том случае если удастся его создать. В теперешнем состоянии ключи есть только у злоумышленников. Еще можно попробовать восстановить бд 1с (ссылка в подписи).
 

AntonMie

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Очень жаль... Тогда последний вопрос..(
Если отформатировать все жесткие диски и переустановить систему вируса не останется?
 

akok

Команда форума
Администратор
Сообщения
17,781
Реакции
13,521
Баллы
2,203
+ смените пароли для учеток которые используют RDP. От вируса и так ничего не осталось, после шифрования он самоудалился, а следы мы подчистили.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу