Зашифровались .doc .xls .pdf

@redjka · Регистрация: 20.07.2016

Author24 — интернет-сервис помощи студентам

Здравствуйте, в один прекрасный день у нас в сети перестали открываться word и excel документы, вылазит ошибка кодировки. Спасите пожалуйста

@redjka · 09.03.2017, 15:10 **[ТС]**

Здравствуйте, 07.03 с утра все файлы .doc .xls .pdf расположенные на сервере и общих папках других стали открываться иероглифами, причем расширение у них не поменялось. AVZ и прочие утилиты ничего не находят. Помогите пожалуйста.

@Sandor · 09.03.2017, 15:29

Здравствуйте!

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@redjka · 09.03.2017, 15:49 **[ТС]**

Вот, пожалуйста.

@Sandor · 09.03.2017, 16:00

Здесь следов вымогателя не видно. Ищите на тех ПК, где есть либо записка о выкупе, либо на старте системы появляется окно с инструкцией. Найдете, соберите там CollectionLog.

@redjka · 09.03.2017, 16:06 **[ТС]**

Просто компьютеров больше 50-и, подскажите где примерно искать. Заранее спасибо

@Sandor · 09.03.2017, 16:07

И все 50 имеют доступ на запись к серверу?
Тогда по очереди те:

Сообщение от Sandor

где есть либо записка о выкупе, либо на старте системы появляется окно с инструкцией.

@redjka · 09.03.2017, 16:12 **[ТС]**

Да, все имеют. Записка о выкупе где-то хранится, определенное место? или может быть где угодно

@Sandor · 09.03.2017, 16:27

Как правило в большинстве доступных папок: в корне диска, на Рабочем столе, в папке Мои документы и т.п.
Скорее всего в Вашем случае будет на старте появляться htm страничка с инструкцией злодеев.

@redjka · 09.03.2017, 17:12 **[ТС]**

Вот нашли на компьютере ключ, с вымоганием. По почте женщина скачала и открыла, и пришел конец всем сетевым документам. Посмотрите отчет и ключ в архиве.

@Sandor · 09.03.2017, 17:21

Внимание! Рекомендации написаны специально для пользователя redjka. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
2017-03-07 10:10 - 2017-03-07 10:10 - 00016677 _____ C:\Users\KogutLP\AppData\Roaming\RU7E5-0FROK-KAOTF-ZKXKT-XXZZZ-OTXOA-RFTXX-EORET-FHHGF.html
2017-03-07 10:10 - 2017-03-07 10:10 - 00016677 _____ C:\RU7E5-0FROK-KAOTF-ZKXKT-XXZZZ-OTXOA-RFTXX-EORET-FHHGF.html
2017-03-07 08:53 - 2017-03-07 10:10 - 116395048 _____ C:\Users\KogutLP\AppData\Roaming\2292790235
MSCONFIG\startupfolder: C:^Users^KogutLP^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^RU7E5-0FROK-KAOTF-ZKXKT-XXZZZ-OTXOA-RFTXX-EORET-FHHGF.html => C:\Windows\pss\RU7E5-0FROK-KAOTF-ZKXKT-XXZZZ-OTXOA-RFTXX-EORET-FHHGF.html.Startup
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Это SPORA. К сожалению, пока инструментов для расшифровки нет.

@redjka · 09.03.2017, 17:47 **[ТС]**

Сделал скрипт, он удалил всё, но теперь нет возможности связаться с ними для дешифровки, файлов очень много.

@Sandor · 09.03.2017, 18:08

Сообщение от redjka

Сделал скрипт, он удалил всё

Скриптом удалены только последние две строки и их безопасные копии находятся в C:\FRST\quarantine. Первые два файла вероятно Вы удалили вручную. Но они есть в прикрепленном выше архиве.

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	09.03.2017, 18:08	13
	Сообщение от redjka Сделал скрипт, он удалил всё Скриптом удалены только последние две строки и их безопасные копии находятся в C:\FRST\quarantine. Первые два файла вероятно Вы удалили вручную. Но они есть в прикрепленном выше архиве. 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	09.03.2017, 15:29	3
	Здравствуйте! Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	09.03.2017, 16:00	5
	Здесь следов вымогателя не видно. Ищите на тех ПК, где есть либо записка о выкупе, либо на старте системы появляется окно с инструкцией. Найдете, соберите там CollectionLog. 0

@redjka 0 / 0 / 0 Регистрация: 20.07.2016 Сообщений: 7
	09.03.2017, 16:06 [ТС]	6
	Просто компьютеров больше 50-и, подскажите где примерно искать. Заранее спасибо 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	09.03.2017, 16:07	7
	И все 50 имеют доступ на запись к серверу? Тогда по очереди те: Сообщение от Sandor где есть либо записка о выкупе, либо на старте системы появляется окно с инструкцией. 0

@redjka 0 / 0 / 0 Регистрация: 20.07.2016 Сообщений: 7
	09.03.2017, 16:12 [ТС]	8
	Да, все имеют. Записка о выкупе где-то хранится, определенное место? или может быть где угодно 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	09.03.2017, 16:27	9
	Как правило в большинстве доступных папок: в корне диска, на Рабочем столе, в папке Мои документы и т.п. Скорее всего в Вашем случае будет на старте появляться htm страничка с инструкцией злодеев. 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	09.03.2017, 17:21	11
	Внимание! Рекомендации написаны специально для пользователя redjka. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool. Cкопируйте в него текст из окна "winbatch" ниже и сохраните. Windows Batch file start CreateRestorePoint: 2017-03-07 10:10 - 2017-03-07 10:10 - 00016677 _____ C:\Users\KogutLP\AppData\Roaming\RU7E5-0FROK-KAOTF-ZKXKT-XXZZZ-OTXOA-RFTXX-EORET-FHHGF.html 2017-03-07 10:10 - 2017-03-07 10:10 - 00016677 _____ C:\RU7E5-0FROK-KAOTF-ZKXKT-XXZZZ-OTXOA-RFTXX-EORET-FHHGF.html 2017-03-07 08:53 - 2017-03-07 10:10 - 116395048 _____ C:\Users\KogutLP\AppData\Roaming\2292790235 MSCONFIG\startupfolder: C:^Users^KogutLP^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^RU7E5-0FROK-KAOTF-ZKXKT-XXZZZ-OTXOA-RFTXX-EORET-FHHGF.html => C:\Windows\pss\RU7E5-0FROK-KAOTF-ZKXKT-XXZZZ-OTXOA-RFTXX-EORET-FHHGF.html.Startup Reboot: end Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Это SPORA. К сожалению, пока инструментов для расшифровки нет. 0