• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Шифровальщик 3nity@tuta.io Пожалуйста помогите!

Статус
В этой теме нельзя размещать новые ответы.

Сергей100

Новый пользователь
Сообщения
12
Реакции
0
Здравствуйте.
Помогите пожалуйста расшифровать файлы.
23 июня 2019г. (выходной день) на компьютер с удаленным доступом для бухгалтерии, в 14-19 был запущен шифровальщик из файла manual.exe, отключен антивирусник NOD32, а так же стерт журнал событий. около 16-50 уже все файлы были зашифрованы. ввиде email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-Акт сверки взаиморасчетов № 84 от 20 июня 2019 г.pdf.doubleoffset . Компьютер начал тормозить, отключили.

Появились файлы Readme.txt с текстом "send your country and ip to 3nity@tuta.io"
Я написал письмо просят выкуп 1500 долларов.
Ip адрес - динамический. Соответственно в названии зашифрованного файла IP не прописан. По этому и нет надежды расшифровать файлы даже за деньги.
 

Вложения

  • CollectionLog-2019.06.25-22.00.zip
    54.1 KB · Просмотры: 2
Подберите пару файлов зашифрованный и его оригинальную версию.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Не получается прикрепить зашифрованный файл. выскочило сообщение "Нельзя загружать файлы данного типа"
 

Вложения

  • FRST.txt
    146 KB · Просмотры: 1
  • Addition.txt
    37.2 KB · Просмотры: 2
  • Акт сверки взаиморасчетов № 84 от 20 июня 2019 г.pdf
    44.2 KB · Просмотры: 1
Получилось
 

Вложения

  • email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-Акт сверки взаиморасчетов № 84 от 20 июня 2019 г....rar
    45.8 KB · Просмотры: 1
Групповые политики сами прописывали?

Смените пароли на RDP и проверьте список пользователей, нет ли лишних
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    2019-06-23 14:39 - 2019-06-23 14:39 - 000000061 _____ C:\Users\Людмила\README.txt
    2019-06-23 14:39 - 2019-06-23 14:39 - 000000061 _____ C:\Users\Людмила\Downloads\README.txt
    2019-06-23 14:39 - 2019-06-23 14:39 - 000000061 _____ C:\Users\Людмила\Documents\README.txt
    2019-06-23 14:39 - 2019-06-23 14:39 - 000000061 _____ C:\Users\Людмила\Desktop\README.txt
    2019-06-23 14:39 - 2019-06-23 14:39 - 000000061 _____ C:\Users\Людмила\AppData\Roaming\README.txt
    2019-06-23 14:39 - 2019-06-23 14:39 - 000000061 _____ C:\Users\Людмила\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 14:39 - 2019-06-23 14:39 - 000000061 _____ C:\Users\Людмила\AppData\README.txt
    2019-06-23 14:39 - 2019-06-23 14:39 - 000000061 _____ C:\Users\Людмила\AppData\LocalLow\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Людмила\AppData\Local\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\SYSTEМ\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\SYSTEМ\Downloads\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\SYSTEМ\Documents\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\SYSTEМ\Desktop\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\SYSTEМ\AppData\Roaming\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\SYSTEМ\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\SYSTEМ\AppData\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\SYSTEМ\AppData\LocalLow\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\SYSTEМ\AppData\Local\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\sergey\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\sergey\Downloads\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\sergey\Documents\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\sergey\Desktop\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\sergey\AppData\Roaming\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\sergey\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\sergey\AppData\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Sergey 2\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Sergey 2\Downloads\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Sergey 2\Documents\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Sergey 2\Desktop\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Sergey 2\AppData\Roaming\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Sergey 2\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Sergey 2\AppData\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Sergey 2\AppData\LocalLow\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ C:\Users\Sergey 2\AppData\Local\README.txt
    2019-06-23 14:35 - 2019-06-23 14:35 - 000000061 _____ C:\Users\sergey\AppData\LocalLow\README.txt
    2019-06-23 14:34 - 2019-06-23 14:34 - 000000061 _____ C:\Users\sergey\AppData\Local\README.txt
    2019-06-23 14:34 - 2019-06-23 14:34 - 000000061 _____ C:\Users\Public\README.txt
    2019-06-23 14:34 - 2019-06-23 14:34 - 000000061 _____ C:\Users\Public\Downloads\README.txt
    2019-06-23 14:34 - 2019-06-23 14:34 - 000000061 _____ C:\Users\marianna\README.txt
    2019-06-23 14:34 - 2019-06-23 14:34 - 000000061 _____ C:\Users\marianna\Downloads\README.txt
    2019-06-23 14:34 - 2019-06-23 14:34 - 000000061 _____ C:\Users\marianna\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 14:33 - 2019-06-23 14:33 - 000000061 _____ C:\Users\marianna\Documents\README.txt
    2019-06-23 14:33 - 2019-06-23 14:33 - 000000061 _____ C:\Users\marianna\Desktop\README.txt
    2019-06-23 14:33 - 2019-06-23 14:33 - 000000061 _____ C:\Users\marianna\AppData\Roaming\README.txt
    2019-06-23 14:33 - 2019-06-23 14:33 - 000000061 _____ C:\Users\marianna\AppData\README.txt
    2019-06-23 14:33 - 2019-06-23 14:33 - 000000061 _____ C:\Users\marianna\AppData\LocalLow\README.txt
    2019-06-23 14:33 - 2019-06-23 14:33 - 000000061 _____ C:\Users\marianna\AppData\Local\README.txt
    2019-06-23 14:32 - 2019-06-23 14:34 - 000001259 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 14:32 - 2019-06-23 14:34 - 000000061 _____ C:\Users\Public\Documents\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000001259 _____ C:\Users\Все пользователи\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 14:32 - 2019-06-23 14:32 - 000001259 _____ C:\ProgramData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Все пользователи\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\buh\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\buh\Downloads\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\buh\Documents\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\buh\Desktop\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\buh\AppData\Roaming\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\buh\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\buh\AppData\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\buh\AppData\LocalLow\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\buh\AppData\Local\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Alexey\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Alexey\Downloads\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Alexey\Documents\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Alexey\Desktop\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Alexey\AppData\Roaming\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Alexey\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Alexey\AppData\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Alexey\AppData\LocalLow\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\Users\Alexey\AppData\Local\README.txt
    2019-06-23 14:32 - 2019-06-23 14:32 - 000000061 _____ C:\ProgramData\README.txt
    2019-06-23 14:20 - 2019-06-23 14:38 - 000000000 ____D C:\Users\sergey\AppData\Roaming\Process Hacker 2
    2019-06-23 14:20 - 2019-06-23 14:38 - 000000000 ____D C:\Users\sergey\Downloads\taskmgr
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ () C:\Users\sergey\AppData\Roaming\README.txt
    2019-06-23 14:38 - 2019-06-23 14:38 - 000000061 _____ () C:\Users\sergey\AppData\Roaming\Microsoft\README.txt
    2019-06-23 14:34 - 2019-06-23 14:34 - 000000061 _____ () C:\Users\sergey\AppData\Local\README.txt
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Проверьте ЛС
 
Спасибо большое!!!! Почти все расшифровало. Не расшифровались только большие Файлы с 1с. Может есть идеи как их тоже расшифровать?
 
Попробуйте перенести в корень диска, возможно проблема в длинных путях. Насколько большие файлы?
 
Проблема известна, в течении нескольких дней будет исправлена.
 
Добрый день. Такое чувство что дешифратор не реагирует на Файлы 1с .
 
Большие файлы? Сейчас он не берет файлы больше 2,1 гб, новая версия будет через пару дней.
 
Добрый день.
Новая версия дешифратора еще не появилась?
 
Проверьте ЛС
 
Результат сообщите, пожалуйста.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу