Решена Вирус-шифровщик Win32:Crypt-OSW, sos2554@mail.ru

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Vlvlkir, 17 сен 2013.

  1. Vlvlkir
    Оффлайн

    Vlvlkir Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Компьютер поражен шифровщиком. Файлы зашифрованы, добавлено расширение .sos. Зашифрованы текстовые файлы, dbf, mdb, lnk и т.д.
    Из всего нужна только расшифровка 1эсовских файлов .dbf.
    Возможно восстановить базы?
     

    Вложения:

    Последнее редактирование модератором: 17 сен 2013
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.094
    Симпатии:
    194
    Приветствую Vlvlkir, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. Vlvlkir
    Оффлайн

    Vlvlkir Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Я всю папку логов из АВЗ вложил. Если что вот отдельно..
     

    Вложения:

  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    логи удалённо делались?

    прикрепите несколько небольших зашифрованных офисных файлов или картинок.
     
  5. Vlvlkir
    Оффлайн

    Vlvlkir Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    В первом сообщении прикреплен файл sc120.dbf, мне кроме баз ничего не нужно.
    Да, на этом компьютере кроме них ничего и не было. За ним никто не работает, как этот гад туда пробрался - загадка? Это сервер 1С баз.

    Добавлено через 2 минуты 46 секунд
    Нет, на зараженном компьютере делал.

    Добавлено через 39 минут 17 секунд
    Вирус создал профиль пользователя именем quarkv2.2w64. В нем несколько файлов. Хотел приложить к первому сообщению, но архив был удален из сообщения, с сообщением, что он содержит вирус.

    Добавлено через 5 часов 1 минуту 4 секунды
    Так же на компьютере был файл Xa.exe.exe, распознается как Backdoor.Win32.DarkHole.dc
     
  6. Vlvlkir
    Оффлайн

    Vlvlkir Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Обнаружил еще детали, может важно. В ПрограммФайлс каталог Rublik с какой-то начинкой.
    И еще момент, на диске была папка Архив с копиями баз. Сейчас ее нет ни зашифрованной, никакой. Есть вариант поискать какой-нибудь программой восстановления удаленных файлов? Этот архив нас бы сильно выручил.

    Добавлено через 2 часа 32 минуты 59 секунд
    Вот пара txt файлов зашифрованных.
     
  7. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    где?
     
  8. Vlvlkir
    Оффлайн

    Vlvlkir Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    ...
     

    Вложения:

    • ip.txt.rar
      Размер файла:
      594 байт
      Просмотров:
      1
    • param.txt.rar
      Размер файла:
      2,1 КБ
      Просмотров:
      1
  9. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Vlvlkir, скопируйте зашифрованные файлы в отдельную папку.

    [info]Во избежания окончательной потери информации все действия производите только на копии зашифрованных файлов скопированных в отдельную папку, можно даже на другой машине[/info] скачайте утилиту te94decrypt и поместите её в папку с копиями шифрованных файлов. Создайте ярлык для запуска этой утилиты, в свойствах ярлыка припишите ключ -k 380 должно получиться, как на скрине и нажмите Ок.
    [​IMG]
    Запустите утилиту через этот ярлык, проверьте результат расшировки файлов.

    ЗЫ. у вас там кроме шифровальщика был биткоин майнер и похоже и другие вирусы, пока попробуйте ещё раз переделать логи AVZ.
     
    Последнее редактирование: 25 сен 2013
  10. Vlvlkir
    Оффлайн

    Vlvlkir Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Вроде, все сделал по инструкции. Утилита запускается и начинает проверять содержимое всех дисков, а не той папки, где лежит.

    Добавлено через 16 минут 33 секунды
    regist!!! Это супер!!!
    Может я торможу. Если после ключа указать путь к конкретному файлу - эта штука его корректно расшифровывает!!! Если указать папку не хочет ничего делать. Через ярлык, как в инструкции начинает перебирать все файлы на компе. Как это победить? Я уже вижу "свет в конце тоннеля!" Но по одному файлу, я умру. В каждой 1эсовской базе их под 1000.

    Добавлено через 1 минуту 4 секунды
    Да и еще один вопрос, а нельзя ее заставить возвращать родные расширения файлам?

    Добавлено через 21 минуту 40 секунд
    Сам не понял как, но только что полность расшифровал базу. Все имена и расширения родные. База полностью работоспособна. Продолжаю эксперименты.
    По поводу дополнительных логов - мне кроме баз ничего не надо. Я винду переустановлю.
     
  11. Vlvlkir
    Оффлайн

    Vlvlkir Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Огромное СПАСИБО!!!

    Огромнейшее СПАСИБО! за помощь.
    Всем кто создал и поддерживает этот ресурс.
    И персонально Regist' у.
    Пока кинулся отчитаться - тема уже закрыта.
    Все восстановлено, все расшифровано, еще раз - СПАСИБО!

    P.S. Может есть какие рекомендации, как уберечься о подобной заразы?
     
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Выполните рекомендации после лечения

    а также регулярно обновляйте программы, а особенно следите за актуальностью антивируса. В случае с шифровальщиками ещё актуально делать бэкапы.
     

Поделиться этой страницей