• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Зашифрованы файлы. Помогите пожалуйста! [opensafezona@cock.li].safe

Статус
В этой теме нельзя размещать новые ответы.

AntonMie

Новый пользователь
Сообщения
6
Реакции
0
Баллы
11
Добрый день.
С утра включили компьютер и обнаружили, что все файлы зашифрованы.
На компьютере много полезной информации
Названия всех файлов такого вида: Список.xlsx[id-Rlzqd9fD].[opensafezona@cock.li].safe
Подскажите пожалуйста, есть какой-то шанс справиться с этим?
Файлы логов Farbar Scan и образцы зашифрованных файлов приготовил, добавлю вложением.
Очень надеюсь на то, что не всё потеряно.
За ранее благодарен команде за Вашу работу!
 

Вложения

  • =_BACK_FILES_~.zip
    527.9 KB · Просмотры: 1
  • Addition.txt
    26 KB · Просмотры: 1
  • FRST.txt
    101.6 KB · Просмотры: 1

akok

Команда форума
Администратор
Сообщения
20,040
Реакции
13,697
Баллы
2,203
В карантине антивируса шифровальщик есть? Ждите ответа @thyrex о возможности расшифровки.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-10-02 00:04 - 2019-10-02 00:04 - 000000172 _____ C:\Users\Наталья\AppData\Roaming\kWYZrzIYZR.html
    2019-10-01 23:55 - 2019-10-02 00:04 - 000004969 _____ C:\Program Files (x86)\=_BACK_FILES_~.html
    2019-10-01 23:54 - 2019-10-02 00:04 - 000004969 _____ C:\Program Files\Common Files\=_BACK_FILES_~.html
    2019-10-01 23:54 - 2019-10-02 00:04 - 000004969 _____ C:\Program Files\=_BACK_FILES_~.html
    2019-10-01 23:54 - 2019-10-02 00:04 - 000004969 _____ C:\=_BACK_FILES_~.html
    2019-10-01 22:55 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\Documents\=_BACK_FILES_~.html
    2019-10-01 22:55 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\Desktop\=_BACK_FILES_~.html
    2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\AppData\LocalLow\=_BACK_FILES_~.html
    2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\AppData\Local\=_BACK_FILES_~.html
    2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\AppData\=_BACK_FILES_~.html
    2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Наталья\=_BACK_FILES_~.html
    2019-10-01 22:53 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\Downloads\=_BACK_FILES_~.html
    2019-10-01 22:53 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\Documents\=_BACK_FILES_~.html
    2019-10-01 22:53 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\Desktop\=_BACK_FILES_~.html
    2019-10-01 22:52 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-01 22:52 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\AppData\LocalLow\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Все пользователи\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\AppData\Local\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\AppData\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Администратор\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Public\Documents\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Public\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default\Documents\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default\Desktop\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default\AppData\Local\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default\AppData\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default User\Documents\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default User\Desktop\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default User\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default User\AppData\Local\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default User\AppData\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\Default User\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\Users\=_BACK_FILES_~.html
    2019-10-01 22:51 - 2019-10-02 00:04 - 000004969 _____ C:\ProgramData\=_BACK_FILES_~.html
    2019-10-01 22:16 - 2019-10-01 22:16 - 000001612 _____ C:\Users\Наталья\Documents\kfGnrbH.html
    2019-10-01 22:16 - 2019-10-01 22:16 - 000001612 _____ C:\Users\Наталья\AppData\Roaming\kfGnrbH.html
    2019-10-01 22:16 - 2019-10-01 22:16 - 000001612 _____ C:\Program Files\kfGnrbH.html
    2019-10-01 22:16 - 2019-10-01 22:16 - 000000002 _____ C:\Users\Наталья\AppData\Roaming\GavyZYQ.html
    2019-10-01 23:54 - 2019-10-02 00:04 - 000004969 _____ () C:\Program Files\=_BACK_FILES_~.html
    2019-10-01 22:16 - 2019-10-01 22:16 - 000001612 _____ () C:\Program Files\kfGnrbH.html
    2019-10-01 23:55 - 2019-10-02 00:04 - 000004969 _____ () C:\Program Files (x86)\=_BACK_FILES_~.html
    2019-10-01 23:54 - 2019-10-02 00:04 - 000004969 _____ () C:\Program Files\Common Files\=_BACK_FILES_~.html
    2019-10-01 23:55 - 2019-10-02 00:04 - 000004969 _____ () C:\Program Files (x86)\Common Files\=_BACK_FILES_~.html
    2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ () C:\Users\Наталья\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-01 22:16 - 2019-10-01 22:16 - 000000002 _____ () C:\Users\Наталья\AppData\Roaming\GavyZYQ.html
    2019-10-01 22:16 - 2019-10-01 22:16 - 000001612 _____ () C:\Users\Наталья\AppData\Roaming\kfGnrbH.html
    2019-10-02 00:04 - 2019-10-02 00:04 - 000000172 _____ () C:\Users\Наталья\AppData\Roaming\kWYZrzIYZR.html
    2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ () C:\Users\Наталья\AppData\Roaming\Microsoft\=_BACK_FILES_~.html
    2019-10-01 22:54 - 2019-10-02 00:04 - 000004969 _____ () C:\Users\Наталья\AppData\Local\=_BACK_FILES_~.html
    ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    FirewallRules: [{527D6110-6C0D-4A5F-9CE1-E1B6C411E8CB}] => (Allow) C:\Users\Администратор\AppData\Local\Temp\7ZipSfx.000\bin\tools\aria2c.exe No File
    FirewallRules: [{E16CE42B-7C1F-4F0C-914B-26929DE97BC5}] => (Allow) C:\Users\Администратор\AppData\Roaming\DRPSu\Alice\cloud.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

AntonMie

Новый пользователь
Сообщения
6
Реакции
0
Баллы
11
Спасибо.
Выполнил, файл fixlog прикрепляю.
По нему понятно будет, всё ли я верно сделал?
...В карантине антивируса ничего нет
 

Вложения

  • Fixlog.txt
    11 KB · Просмотры: 3

akok

Команда форума
Администратор
Сообщения
20,040
Реакции
13,697
Баллы
2,203
Запускать два раза не стоило.
 

AntonMie

Новый пользователь
Сообщения
6
Реакции
0
Баллы
11
Прошу прощения за невнимательность..
Запустил второй раз, из-за того, что в первый не создал файл fixlisc с Вашим кодом и запустил ФИКС
Неужели всё потеряно?..(
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,879
Реакции
2,582
Баллы
593
Без тела шифратора сказать что-то опредленное невозможно.
 

AntonMie

Новый пользователь
Сообщения
6
Реакции
0
Баллы
11
Где-то или чем-то его можно обнаружить?
Помогите пожалуйста, я прям не теряю надежду на чудо...
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,879
Реакции
2,582
Баллы
593
В логах его нет, а значит он наверняка самоуничтожился после выполнения черного дела.
 

AntonMie

Новый пользователь
Сообщения
6
Реакции
0
Баллы
11
Возможно какой-то универсальный дешифратор от opensafezona может подойти, хотя бы вылечить малую часть файлов, хотя бы попробовать.
Нет рекомендации либо ссылки где почитать об этом?
Извините за назойливость и спасибо за понимание
 

akok

Команда форума
Администратор
Сообщения
20,040
Реакции
13,697
Баллы
2,203
Универсальный дешифратор может быть только в том случае если удастся его создать. В теперешнем состоянии ключи есть только у злоумышленников. Еще можно попробовать восстановить бд 1с (ссылка в подписи).
 

AntonMie

Новый пользователь
Сообщения
6
Реакции
0
Баллы
11
Очень жаль... Тогда последний вопрос..(
Если отформатировать все жесткие диски и переустановить систему вируса не останется?
 

akok

Команда форума
Администратор
Сообщения
20,040
Реакции
13,697
Баллы
2,203
+ смените пароли для учеток которые используют RDP. От вируса и так ничего не осталось, после шифрования он самоудалился, а следы мы подчистили.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу