Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty

Сообщений: 13

Баллов: 6

Регистрация: 27.03.2017

Размещено 27.03.2017 13:30:42

Копий файлов к сожалению не осталось(

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.03.2017 14:57:34

Максим,
добавьте образ автозапуска системы.
http://forum.esetnod32.ru/forum9/topic2687/

+
проверьте, есть ли зашифрованные файлы в данной папке
c:\Users\Public\Pictures\Sample Pictures\

Цитата
Koala.jpg Desert.jpg Chrysanthemum.jpg

добавьте эти зашифрованные файлы.

[ Как создать образ автозапуска? ]

Сообщений: 13

Баллов: 6

Регистрация: 27.03.2017

Размещено 27.03.2017 15:44:43

К сожалению по данному пути нет файлов .jpg

Прикрепленные файлы

DESKTOP-B1DFF51_2017-03-27_15-34-57.7z (749.41 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.03.2017 15:58:49

скачайте отсюда программу:
https://download.bleepingcomputer.com/demonslay335/CryptoSearch.zip
распакуйте архив,
и запишите папку с этой программой на ваш сервер.

запустите программу CryptoSearch.exe и установите галку на Extension (фильтр по расширением),
введите это расширение idz0861

и выполните поиск файлов по всему компьютеру (или по только по диску C)
после завершения поиска выполните функцию File-Export list

файл со списком найденных файлов можно добавить в архив, и дать ссылку на него в личных сообщениях.
------------------

[ Как создать образ автозапуска? ]

Сообщений: 13

Баллов: 6

Регистрация: 27.03.2017

Размещено 27.03.2017 16:24:37

Вот файлик

Прикрепленные файлы

encrypted-files.7z (145.71 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.03.2017 16:33:53

версия 7z какая у вас была?
добавьте в архиве эту папочку с зашифрованными файлами

Цитата
F:\Program Files\7-Zip\Lang\

[ Как создать образ автозапуска? ]

Сообщений: 13

Баллов: 6

Регистрация: 27.03.2017

Размещено 27.03.2017 16:37:28

Версия 15,14

Прикрепленные файлы

Lang.7z (752.29 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.03.2017 16:43:56

если еще такая же система на другой машине,
вы можете взять эти файлики

Цитата
F:\ProgramData\Microsoft\User Account Pictures\guest.bmp.idz0861 F:\ProgramData\Microsoft\User Account Pictures\guest.png.idz0861 F:\ProgramData\Microsoft\User Account Pictures\user-192.png.idz0861 F:\ProgramData\Microsoft\User Account Pictures\user-32.png.idz0861 F:\ProgramData\Microsoft\User Account Pictures\user-40.png.idz0861 F:\ProgramData\Microsoft\User Account Pictures\user-48.png.idz0861 F:\ProgramData\Microsoft\User Account Pictures\user.bmp.idz0861 F:\ProgramData\Microsoft\User Account Pictures\user.png.idz0861

Цитата

F:\ProgramData\Microsoft\User Account Pictures\guest.bmp.idz0861
F:\ProgramData\Microsoft\User Account Pictures\guest.png.idz0861
F:\ProgramData\Microsoft\User Account Pictures\user-192.png.idz0861
F:\ProgramData\Microsoft\User Account Pictures\user-32.png.idz0861
F:\ProgramData\Microsoft\User Account Pictures\user-40.png.idz0861
F:\ProgramData\Microsoft\User Account Pictures\user-48.png.idz0861
F:\ProgramData\Microsoft\User Account Pictures\user.bmp.idz0861
F:\ProgramData\Microsoft\User Account Pictures\user.png.idz0861

[ Как создать образ автозапуска? ]

Сообщений: 13

Баллов: 6

Регистрация: 27.03.2017

Размещено 27.03.2017 16:46:27

Вот

Прикрепленные файлы

pic.7z (11.01 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.03.2017 16:54:28

попробую использовать файлы от 7z.
но так же желательно поискать эти файлы, на аналогичной чистой системе

Цитата
F:\ProgramData\Microsoft\User Account Pictures\guest.bmp.idz0861 F:\ProgramData\Microsoft\User Account Pictures\guest.png.idz0861 F:\ProgramData\Microsoft\User Account Pictures\user-192.png.idz0861 F:\ProgramData\Microsoft\User Account Pictures\user-32.png.idz0861 F:\ProgramData\Microsoft\User Account Pictures\user-40.png.idz0861 F:\ProgramData\Microsoft\User Account Pictures\user-48.png.idz0861 F:\ProgramData\Microsoft\User Account Pictures\user.bmp.idz0861 F:\ProgramData\Microsoft\User Account Pictures\user.png.idz0861

Цитата

F:\ProgramData\Microsoft\User Account Pictures\guest.bmp.idz0861
F:\ProgramData\Microsoft\User Account Pictures\guest.png.idz0861
F:\ProgramData\Microsoft\User Account Pictures\user-192.png.idz0861
F:\ProgramData\Microsoft\User Account Pictures\user-32.png.idz0861
F:\ProgramData\Microsoft\User Account Pictures\user-40.png.idz0861
F:\ProgramData\Microsoft\User Account Pictures\user-48.png.idz0861
F:\ProgramData\Microsoft\User Account Pictures\user.bmp.idz0861
F:\ProgramData\Microsoft\User Account Pictures\user.png.idz0861

----------
возможно, вам для расшифровки нужен будет исполняемый файл шифратора, чтобы определить пароль.
если вы сами ставили подозрительный софт, и в итоге получили шифрование, то необходим будет тот подозрительный софт, или ссылка откуда скачали.

возможно так же, что к серверу был получен доступ удаленно.

[ Как создать образ автозапуска? ]

Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty , Filecoder.Q / Xorist

Ответы