• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Поймали шифровальщик BitLocker a38261062@gmail.com

Переводчик Google

GreatALF

Новый пользователь
Сообщения
6
Реакции
0
Добрый день. Зашифровали сервер с помощью BitLocker
Заблокированы все диски и файлы.
 

Вложения

Тут без ключа расшифровать не получится. ОС под переустановку?
 
Тут без ключа расшифровать не получится. ОС под переустановку?

Можно как то почистить сервер от шифровальщика?
Как найти тело шифровальщика и можно ли узнать как то под каким пользователем он был запущен?
 
Обычно после работы, шифровальщик пытается удалить свои следы. Но так или иначе нужно найти как зараза попала на сервер, обычно RDP, поэтому смена пароле обязательна.

Если какие-то политика сами настраивали, скрипт не выполняйте, а отпишитесь теме.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Администратор\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Администратор\Downloads\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Администратор\Documents\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Администратор\Desktop\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Администратор\AppData\Roaming\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Администратор\AppData\LocalLow\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Администратор\AppData\Local\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.volkova\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.volkova\Downloads\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.volkova\Documents\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.volkova\Desktop\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.volkova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.volkova\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.volkova\AppData\Roaming\Microsoft\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.volkova\AppData\Roaming\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.volkova\AppData\LocalLow\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.volkova\AppData\Local\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.lukyanova\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.lukyanova\Downloads\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.lukyanova\Documents\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.lukyanova\Desktop\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.lukyanova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.lukyanova\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.lukyanova\AppData\Roaming\Microsoft\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.lukyanova\AppData\Roaming\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.lukyanova\AppData\LocalLow\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.lukyanova\AppData\Local\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.griboedova\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.griboedova\Downloads\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.griboedova\Documents\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.griboedova\Desktop\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.griboedova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.griboedova\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.griboedova\AppData\Roaming\Microsoft\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.griboedova\AppData\Roaming\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.griboedova\AppData\LocalLow\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.griboedova\AppData\Local\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\y.griboedova\AppData\Local\Apps\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\USR1CV83\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\USR1CV83\Downloads\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\USR1CV83\Documents\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\USR1CV83\Desktop\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\USR1CV83\AppData\Roaming\Microsoft\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\USR1CV83\AppData\Roaming\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\USR1CV83\AppData\LocalLow\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\USR1CV83\AppData\Local\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.volkova\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.volkova\Downloads\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.volkova\Documents\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.volkova\Desktop\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.volkova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.volkova\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.volkova\AppData\Roaming\Microsoft\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.volkova\AppData\Roaming\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.volkova\AppData\LocalLow\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.volkova\AppData\Local\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.mironova\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.mironova\Downloads\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.mironova\Documents\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.mironova\Desktop\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.mironova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.mironova\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.mironova\AppData\Roaming\Microsoft\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.mironova\AppData\Roaming\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.mironova\AppData\LocalLow\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.mironova\AppData\Local\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.krylova\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.krylova\Downloads\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.krylova\Documents\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.krylova\Desktop\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.krylova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.krylova\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.krylova\AppData\Roaming\Microsoft\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.krylova\AppData\Roaming\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.krylova\AppData\LocalLow\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\t.krylova\AppData\Local\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Public\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Public\Downloads\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Public\Documents\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.kalugina\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.kalugina\Downloads\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.kalugina\Documents\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.kalugina\Desktop\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.kalugina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.kalugina\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.kalugina\AppData\Roaming\Microsoft\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.kalugina\AppData\Roaming\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.kalugina\AppData\LocalLow\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.kalugina\AppData\Local\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.grigoreva\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.grigoreva\Downloads\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.grigoreva\Documents\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.grigoreva\Desktop\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.grigoreva\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.grigoreva\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.grigoreva\AppData\Roaming\Microsoft\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.grigoreva\AppData\Roaming\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.grigoreva\AppData\LocalLow\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\i.grigoreva\AppData\Local\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\GreatALF\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\GreatALF\Downloads\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\GreatALF\Documents\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\GreatALF\Desktop\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\GreatALF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\GreatALF\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\GreatALF\AppData\Roaming\Microsoft\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\GreatALF\AppData\Roaming\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\GreatALF\AppData\LocalLow\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\GreatALF\AppData\Local\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Default\Downloads\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Default\Documents\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Default\Desktop\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Default\AppData\Roaming\Microsoft\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Default\AppData\Roaming\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\Default\AppData\Local\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\a.fomin\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\a.fomin\Downloads\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\a.fomin\Documents\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\a.fomin\Desktop\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\a.fomin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\a.fomin\AppData\Roaming\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\a.fomin\AppData\Roaming\Microsoft\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\a.fomin\AppData\Roaming\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\a.fomin\AppData\LocalLow\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\Users\a.fomin\AppData\Local\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ C:\ProgramData\Microsoft\Windows\Start Menu\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ () C:\Users\GreatALF\AppData\Roaming\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ () C:\Users\GreatALF\AppData\Roaming\Microsoft\FILES_ENCRYPTED.txt
    2024-12-15 07:52 - 2024-08-22 13:25 - 000000940 _____ () C:\Users\GreatALF\AppData\Local\FILES_ENCRYPTED.txt
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную, когда будет возможность

Подробнее читайте в этом руководстве.

Эти папки создавались перед шифрованием, там ест что-то интересное? (хотя маловероятно)
2024-12-15 07:50 - 2024-12-15 07:52 - 000000000 ____D C:\Users\USR1CV83\AppData\Roaming\com.adobe.dunamis
2024-12-15 07:50 - 2024-12-15 07:52 - 000000000 ____D C:\Users\USR1CV83\AppData\LocalLow\Adobe
2024-12-15 07:50 - 2024-12-15 07:52 - 000000000 ____D C:\Users\USR1CV83\AppData\Local\SolidDocuments
2024-12-15 07:50 - 2024-12-15 07:52 - 000000000 ____D C:\Users\USR1CV83\AppData\Local\Adobe
2024-12-15 07:50 - 2024-12-15 07:52 - 000000000 ____D C:\Users\USR1CV83\.ms-ad
2024-12-15 07:38 - 2024-12-15 07:52 - 000000000 ____D C:\Users\USR1CV83\AppData\Roaming\AstralToolBox
2024-12-15 07:35 - 2024-12-15 07:35 - 000000000 __SHD C:\Windows\BitLockerDiscoveryVolumeContents
2024-12-12 04:12 - 2024-12-15 07:52 - 000000000 ____D C:\ProgramData\SabyAdmin

Встроенного админа сами включали?
Администратор (S-1-5-21-201943780-2262924567-2469990356-500 - Administrator - Enabled) => C:\Users\Администратор
 
Последнее редактирование:
Добрый день. Да Политики безопасности менялись. Уже не ообо даже помню какие
 
Отредактировал скрипт, убрал сброс политик, остались только ограничения
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
 
Трижды не нужно было выполнять скрипт, отчёт перезаписался.

К сожалению, расшифровки этого типа вымогателя нет.
 
Назад
Сверху Снизу