Решена с расшифровкой. Зашифрован виндовс 2008

twixers · 7 Ноя 2019

1. Логи фарбар addition frst
2. зашифрованные файлы в 2ндфл.7z и файл с требованиями злоумышленников.
3. вирус найти не удалось

akok · 7 Ноя 2019

Что-то знакомое? Запускалось с внешнего накопителя
HKU\S-1-5-21-1137068239-2368128979-3795345146-1116\...\MountPoints2: {2fead552-43c7-11e2-b97f-806e6f6e6963} - E:\Run.exe

Проверьте список администраторов, нет ли лишних пользователей

Administrator (S-1-5-21-998822781-3121972130-669303095-500 - Administrator - Enabled)
root (S-1-5-21-1137068239-2368128979-3795345146-1107 - Administrator - Enabled) => C:\Users\root
ega (S-1-5-21-1137068239-2368128979-3795345146-1115 - Administrator - Enabled) => C:\Users\ega
bei (S-1-5-21-1137068239-2368128979-3795345146-1116 - Administrator - Enabled) => C:\Users\bei
kr (S-1-5-21-1137068239-2368128979-3795345146-1118 - Administrator - Enabled) => C:\Users\kr
ibtorg (S-1-5-21-1137068239-2368128979-3795345146-1136 - Administrator - Disabled) => C:\Users\ibtorg
admin$ (S-1-5-21-1137068239-2368128979-3795345146-1142 - Administrator - Enabled) => C:\Users\ADMIN$

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
VirusTotal: C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
Startup: C:\Users\ADMIN$\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\bei\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\ega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\ibtorg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\ivanovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\kr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\loi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\user2017\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\vev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
2019-11-05 01:04 - 2019-11-05 01:04 - 000000926 _____ C:\Windows\Tasks\HOW TO DECRYPT FILES.txt
2019-11-05 01:04 - 2019-11-05 01:04 - 000000926 _____ C:\Windows\SysWOW64\HOW TO DECRYPT FILES.txt
2019-11-05 01:04 - 2019-11-05 01:04 - 000000926 _____ C:\Windows\SysWOW64\Drivers\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Windows\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\root\HOW TO DECRYPT FILES.txt
2019-11-05 01:00 - 2019-11-05 01:00 - 000000926 _____ C:\Users\root\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 01:00 - 2019-11-05 01:00 - 000000926 _____ C:\Users\root\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:59 - 2019-11-05 00:59 - 000000926 _____ C:\Users\root\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:59 - 2019-11-05 00:59 - 000000926 _____ C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:59 - 2019-11-05 00:59 - 000000926 _____ C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:58 - 2019-11-05 00:58 - 000000926 _____ C:\Users\root\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Default\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Default User\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\bei\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\ProgramData\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\ProgramData\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:53 - 2019-11-05 00:53 - 000000926 _____ C:\Users\bei\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\HOW TO DECRYPT FILES.txt
2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\Administrator\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\ProgramData\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\ProgramData\HOW TO DECRYPT FILES.txt
2019-11-05 00:45 - 2019-11-05 00:45 - 000000926 _____ C:\Program Files (x86)\HOW TO DECRYPT FILES.txt
2019-11-05 00:41 - 2019-11-05 00:41 - 000000926 _____ C:\Program Files\HOW TO DECRYPT FILES.txt
2019-11-05 00:41 - 2019-11-05 00:41 - 000000926 _____ C:\HOW TO DECRYPT FILES.txt
2019-11-05 00:41 - 2019-11-05 00:41 - 000000926 _____ () C:\Program Files\HOW TO DECRYPT FILES.txt
2019-11-05 00:45 - 2019-11-05 00:45 - 000000926 _____ () C:\Program Files (x86)\HOW TO DECRYPT FILES.txt
2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ () C:\Users\bei\AppData\Local\HOW TO DECRYPT FILES.txt
ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
ContextMenuHandlers4-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
WMI:subscription\__EventFilter->fuckyoumm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

По поводу расшифровки, в начале нужно опознать вымогателя, попросил коллегу, посмотреть (@thyrex )

twixers · 7 Ноя 2019

Добрый день прилагаю fixlog.txt

akok написал(а):

Что-то знакомое? Запускалось с внешнего накопителя
HKU\S-1-5-21-1137068239-2368128979-3795345146-1116\...\MountPoints2: {2fead552-43c7-11e2-b97f-806e6f6e6963} - E:\Run.exe

Проверьте список администраторов, нет ли лишних пользователей

Administrator (S-1-5-21-998822781-3121972130-669303095-500 - Administrator - Enabled)
root (S-1-5-21-1137068239-2368128979-3795345146-1107 - Administrator - Enabled) => C:\Users\root
ega (S-1-5-21-1137068239-2368128979-3795345146-1115 - Administrator - Enabled) => C:\Users\ega
bei (S-1-5-21-1137068239-2368128979-3795345146-1116 - Administrator - Enabled) => C:\Users\bei
kr (S-1-5-21-1137068239-2368128979-3795345146-1118 - Administrator - Enabled) => C:\Users\kr
ibtorg (S-1-5-21-1137068239-2368128979-3795345146-1136 - Administrator - Disabled) => C:\Users\ibtorg
admin$ (S-1-5-21-1137068239-2368128979-3795345146-1142 - Administrator - Enabled) => C:\Users\ADMIN$

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
VirusTotal: C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
Startup: C:\Users\ADMIN$\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\bei\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\ega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\ibtorg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\ivanovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\kr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\loi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\user2017\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
Startup: C:\Users\vev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed]
2019-11-05 01:04 - 2019-11-05 01:04 - 000000926 _____ C:\Windows\Tasks\HOW TO DECRYPT FILES.txt
2019-11-05 01:04 - 2019-11-05 01:04 - 000000926 _____ C:\Windows\SysWOW64\HOW TO DECRYPT FILES.txt
2019-11-05 01:04 - 2019-11-05 01:04 - 000000926 _____ C:\Windows\SysWOW64\Drivers\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Windows\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\root\HOW TO DECRYPT FILES.txt
2019-11-05 01:00 - 2019-11-05 01:00 - 000000926 _____ C:\Users\root\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 01:00 - 2019-11-05 01:00 - 000000926 _____ C:\Users\root\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:59 - 2019-11-05 00:59 - 000000926 _____ C:\Users\root\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:59 - 2019-11-05 00:59 - 000000926 _____ C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:59 - 2019-11-05 00:59 - 000000926 _____ C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:58 - 2019-11-05 00:58 - 000000926 _____ C:\Users\root\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Default\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Default User\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\bei\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\ProgramData\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\ProgramData\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:53 - 2019-11-05 00:53 - 000000926 _____ C:\Users\bei\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\HOW TO DECRYPT FILES.txt
2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\Administrator\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\Downloads\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\Documents\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\Desktop\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\ProgramData\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\ProgramData\HOW TO DECRYPT FILES.txt
2019-11-05 00:45 - 2019-11-05 00:45 - 000000926 _____ C:\Program Files (x86)\HOW TO DECRYPT FILES.txt
2019-11-05 00:41 - 2019-11-05 00:41 - 000000926 _____ C:\Program Files\HOW TO DECRYPT FILES.txt
2019-11-05 00:41 - 2019-11-05 00:41 - 000000926 _____ C:\HOW TO DECRYPT FILES.txt
2019-11-05 00:41 - 2019-11-05 00:41 - 000000926 _____ () C:\Program Files\HOW TO DECRYPT FILES.txt
2019-11-05 00:45 - 2019-11-05 00:45 - 000000926 _____ () C:\Program Files (x86)\HOW TO DECRYPT FILES.txt
2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ () C:\Users\bei\AppData\Local\HOW TO DECRYPT FILES.txt
ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
ContextMenuHandlers4-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
WMI:subscription\__EventFilter->fuckyoumm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

По поводу расшифровки, в начале нужно опознать вымогателя, попросил коллегу, посмотреть (@thyrex )

akok · 7 Ноя 2019

Несколько раз запускать не нужно было скрипт. По поводу расшифровки, похоже есть шанс. Ожидайте.

thyrex · 7 Ноя 2019

C:\Windows\system32\max.exe проверьте на virustotal.com и пришлите ссылку на результат анализа

twixers · 7 Ноя 2019

вот ссылка тык

thyrex · 7 Ноя 2019

В расшифровке Вам поможет Emsisoft Decryptor for Xorist
Распакуйте в папку со скачанным дешифратором пару файлов из вложения

Инструкция по применению на английском https://decrypter.emsisoft.com/howtos/emsisoft_howto_xorist.pdf

Ключ будет подобран где-то после 23%

Учтите, что из-за длинного нового расширения, которое получили зашифрованные файлы, возможно возникновение проблемы с длинными путями к файлам.
Это может быть критично на старых системах файловой системой FAT32. Возникнет ли проблема на NTFS-разделах, ответить затрудняюсь. Поэтому зашифрованные файлы удаляйте только после проверки корректности расшифровки.

Результат расшифровки сообщите.

twixers · 14 Ноя 2019

thyrex написал(а):
В расшифровке Вам поможет Emsisoft Decryptor for Xorist
Распакуйте в папку со скачанным дешифратором пару файлов из вложения

Инструкция по применению на английском https://decrypter.emsisoft.com/howtos/emsisoft_howto_xorist.pdf

Ключ будет подобран где-то после 23%

Учтите, что из-за длинного нового расширения, которое получили зашифрованные файлы, возможно возникновение проблемы с длинными путями к файлам.
Это может быть критично на старых системах файловой системой FAT32. Возникнет ли проблема на NTFS-разделах, ответить затрудняюсь. Поэтому зашифрованные файлы удаляйте только после проверки корректности расшифровки.

Результат расшифровки сообщите.

Спасибо вам большое ребята! Все дешифровалось без проблем, файлы восстановлены!

akok · 14 Ноя 2019

Удачи!

Решена с расшифровкой. Зашифрован виндовс 2008

twixers

Новый пользователь

Вложения

akok

twixers

Новый пользователь

Вложения

akok

thyrex

twixers

Новый пользователь

thyrex

Вложения

twixers

Новый пользователь

akok