• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Расшифровка nightmare666@cock.li.ver-CL 1.5.1.0.

Статус
В этой теме нельзя размещать новые ответы.

mover

Новый пользователь
Сообщения
14
Реакции
0
Лечение не требуется. Приветствуется расшифровка. Если могу, что-то предоставить для помощи будущим жертвам - сделаю.
Прикладываю возможный исполняемый файл шифратора "ru4noi.zip". Надеюсь поможет.
 

Вложения

  • CollectionLog-2019.06.19-11.57.zip
    61.9 KB · Просмотры: 3
  • ru4noi.zip
    229.5 KB · Просмотры: 1
Скачайте Farbar Recovery Scan Tool
NAAC5Ba.png
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
Прикрепите несколько зашифрованных файлов (небольшого размера)
 
Готово
 

Вложения

  • FRST.ZIP
    16.4 KB · Просмотры: 1
  • несколько зашифрованных файлов.zip
    51.6 KB · Просмотры: 4
Увы, расшифровки нет. Будет только зачистка следов мусора.

Пароль от RDP меняйте на более сложный.

1. Выделите следующий код:
Код:
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
2019-06-19 06:48 - 2019-06-19 06:48 - 000000090 _____ C:\README.txt
2019-06-19 06:30 - 2019-06-19 06:48 - 000001287 _____ C:\Users\user\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:30 - 2019-06-19 06:48 - 000001287 _____ C:\Users\user\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:30 - 2019-06-19 06:48 - 000001287 _____ C:\Users\user\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:30 - 2019-06-19 06:48 - 000001287 _____ C:\Users\user\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:30 - 2019-06-19 06:48 - 000001287 _____ C:\Users\user\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:30 - 2019-06-19 06:48 - 000001287 _____ C:\Users\user\AppData\LocalLow\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:30 - 2019-06-19 06:48 - 000001287 _____ C:\Users\user\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:30 - 2019-06-19 06:48 - 000000090 _____ C:\Users\user\README.txt
2019-06-19 06:30 - 2019-06-19 06:48 - 000000090 _____ C:\Users\user\Downloads\README.txt
2019-06-19 06:30 - 2019-06-19 06:48 - 000000090 _____ C:\Users\user\Documents\README.txt
2019-06-19 06:30 - 2019-06-19 06:48 - 000000090 _____ C:\Users\user\Desktop\README.txt
2019-06-19 06:30 - 2019-06-19 06:48 - 000000090 _____ C:\Users\user\AppData\Roaming\README.txt
2019-06-19 06:30 - 2019-06-19 06:48 - 000000090 _____ C:\Users\user\AppData\README.txt
2019-06-19 06:30 - 2019-06-19 06:48 - 000000090 _____ C:\Users\user\AppData\LocalLow\README.txt
2019-06-19 06:30 - 2019-06-19 06:44 - 000001287 _____ C:\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:30 - 2019-06-19 06:30 - 000000090 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-19 06:27 - 2019-06-19 06:28 - 000001287 _____ C:\Users\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Public\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Public\Downloads\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default\Downloads\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default\Documents\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default\Desktop\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default\AppData\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default\AppData\LocalLow\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default User\Downloads\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default User\Documents\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default User\Desktop\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default User\AppData\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Users\Default User\AppData\LocalLow\README.txt
2019-06-19 06:12 - 2019-06-19 06:44 - 000001287 _____ C:\Program Files\README.txt
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Все пользователи\README.txt
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Public\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Public\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Public\Documents\README.txt
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Public\Desktop\README.txt
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default\AppData\LocalLow\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default User\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default User\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default User\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default User\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default User\AppData\LocalLow\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\Users\Default User\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:28 - 000001287 _____ C:\ProgramData\README.txt
2019-06-19 06:12 - 2019-06-19 06:27 - 000001287 _____ C:\Program Files\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:12 - 000001287 _____ C:\Users\Все пользователи\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:12 - 000001287 _____ C:\Users\Public\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:12 - 000001287 _____ C:\Users\Public\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:12 - 000001287 _____ C:\ProgramData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:12 - 2019-06-19 06:12 - 000000090 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-19 06:12 - 2019-06-19 06:12 - 000000090 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-19 06:12 - 2019-06-19 06:12 - 000000090 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-06-19 06:11 - 2019-06-19 06:43 - 000001287 _____ C:\Program Files\Common Files\README.txt
2019-06-19 06:11 - 2019-06-19 06:27 - 000001287 _____ C:\Program Files\Common Files\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-19 06:11 - 2019-06-19 06:12 - 000001287 _____ C:\Users\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 
Подберите пару файлов для анализа, зашифрованный и оригинальный.
 
Вы зашифрованный файл случайно не переименовывали? Попробуйте найти еще такую пару.
 
Оригинальный эксель файл под паролем?
 
Уже увидел. Проверьте ЛС.
 
ПОМИЛКА! Ключ дешифрації не підійшов для файла ("D:\Decryptor\БРИФ - РАЗРАБОТКА САЙТА.docx")
 
Вероятно тоже имя зашифрованного изменено.
 
Вероятно тоже имя зашифрованного изменено.
Нет. Остальные файлы не изменялись. Просто файл с измененным именем отправлялся злоумышленнику в телеграм и там имя обрезало.
 
Пришлите несколько зашифрованных файлов в архиве.
 
В темах, где зашифрованы даже README.txt от вымогателей, готовьтесь искать после расшифровки другие пары.

Файлы из первого сообщения тоже не расшифруются.
 
с другой парой файлов получилось расшифровать
 
В завершение:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу