• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки [2221330632-1573888159][laud@tuta.io]

Статус
В этой теме нельзя размещать новые ответы.

Romaks

Новый пользователь
Сообщения
8
Реакции
0
Здравствуйте! Стал жертвой вируса-шифровальщика...
send your country and ip to
laud@tuta.io
Володимир1.xlsx[2221330632-1573888159][laud@tuta.io].clc
20шт.pub[2221330632-1573888159][laud@tuta.io].dcv
Договір.doc[2221330632-1573888159][laud@tuta.io].dzw
Файлы стали такого типа. В принципе очень важны два файла с базами даных.
Нужна помощь... Поможете?
 
Отчеты
 

Вложения

  • Addition.txt
    34.8 KB · Просмотры: 1
  • FRST.txt
    207.1 KB · Просмотры: 2
Администраторы ваши?
adm (S-1-5-21-35227577-3892945734-2938244014-1002 - Administrator - Enabled) => C:\Users\adm
admin (S-1-5-21-35227577-3892945734-2938244014-1018 - Limited - Enabled)

Смените пароль на доступ по RDP.

Пару небольших зашифрованных документов вместе с одним из файлов README.txt упакуйте в архив и прикрепите к следующему сообщению.

Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    HKLM-x32\...\Run: [2146872] => 2146872
    HKLM-x32\...\Run: [3830343] => 3830343
    HKLM-x32\...\Run: [2722984] => 2722984
    HKLM-x32\...\Run: [3143532] => 3143532
    HKU\S-1-5-21-35227577-3892945734-2938244014-1008\...\Run: [2221330632] => C:\Users\user\AppData\Local\Temp\1\svcale.exe <==== ATTENTION
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    CHR HKU\S-1-5-21-35227577-3892945734-2938244014-1008\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd]
    CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof]
    CHR HKLM-x32\...\Chrome\Extension: [jmiiohiaajjffehaafddaigaacdjmmgn]
    CHR HKLM-x32\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme]
    CHR HKLM-x32\...\Chrome\Extension: [oilhebpjhnjaeghedpjnmajajlcfdjgc]
    CHR HKLM-x32\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf]
    CHR HKLM-x32\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk]
    2019-11-16 08:41 - 2019-11-16 08:41 - 000000059 _____ C:\Users\Администратор\README.txt
    2019-11-16 08:41 - 2019-11-16 08:41 - 000000059 _____ C:\Users\Администратор\Downloads\README.txt
    2019-11-16 08:41 - 2019-11-16 08:41 - 000000059 _____ C:\Users\Администратор\Documents\README.txt
    2019-11-16 08:41 - 2019-11-16 08:41 - 000000059 _____ C:\Users\Администратор\Desktop\README.txt
    2019-11-16 08:41 - 2019-11-16 08:41 - 000000059 _____ C:\Users\Администратор\AppData\Roaming\README.txt
    2019-11-16 08:41 - 2019-11-16 08:41 - 000000059 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-16 08:41 - 2019-11-16 08:41 - 000000059 _____ C:\Users\Администратор\AppData\README.txt
    2019-11-16 08:41 - 2019-11-16 08:41 - 000000059 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
    2019-11-16 08:41 - 2019-11-16 08:41 - 000000059 _____ C:\Users\Администратор\AppData\Local\Temp\README.txt
    2019-11-16 08:41 - 2019-11-16 08:41 - 000000059 _____ C:\Users\user\README.txt
    2019-11-16 08:41 - 2019-11-16 08:41 - 000000059 _____ C:\Users\user\Downloads\README.txt
    2019-11-16 08:41 - 2019-11-16 08:41 - 000000059 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-16 08:41 - 2019-11-16 08:41 - 000000059 _____ C:\README.txt
    2019-11-16 08:37 - 2019-11-16 08:37 - 000000059 _____ C:\Users\user\Documents\README.txt
    2019-11-16 08:35 - 2019-11-16 08:35 - 000000059 _____ C:\Users\user\Desktop\README.txt
    2019-11-16 08:26 - 2019-11-16 08:26 - 000000059 _____ C:\Users\user\AppData\Roaming\README.txt
    2019-11-16 08:26 - 2019-11-16 08:26 - 000000059 _____ C:\Users\user\AppData\README.txt
    2019-11-16 08:23 - 2019-11-16 08:23 - 000000059 _____ C:\Users\user\AppData\LocalLow\README.txt
    2019-11-16 08:04 - 2019-11-16 08:04 - 000000059 _____ C:\Users\user\AppData\Local\Temp\README.txt
    2019-11-16 07:54 - 2019-11-16 07:54 - 000000059 _____ C:\Users\sysadm\README.txt
    2019-11-16 07:54 - 2019-11-16 07:54 - 000000059 _____ C:\Users\sysadm\Downloads\README.txt
    2019-11-16 07:54 - 2019-11-16 07:54 - 000000059 _____ C:\Users\sysadm\Documents\README.txt
    2019-11-16 07:54 - 2019-11-16 07:54 - 000000059 _____ C:\Users\sysadm\Desktop\README.txt
    2019-11-16 07:54 - 2019-11-16 07:54 - 000000059 _____ C:\Users\sysadm\AppData\Roaming\README.txt
    2019-11-16 07:54 - 2019-11-16 07:54 - 000000059 _____ C:\Users\sysadm\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-16 07:54 - 2019-11-16 07:54 - 000000059 _____ C:\Users\sysadm\AppData\README.txt
    2019-11-16 07:54 - 2019-11-16 07:54 - 000000059 _____ C:\Users\sysadm\AppData\LocalLow\README.txt
    2019-11-16 07:54 - 2019-11-16 07:54 - 000000059 _____ C:\Users\sysadm\AppData\Local\Temp\README.txt
    2019-11-16 07:54 - 2019-11-16 07:54 - 000000059 _____ C:\Users\sqlservice\README.txt
    2019-11-16 07:54 - 2019-11-16 07:54 - 000000059 _____ C:\Users\sqlservice\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\sqlservice\Downloads\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\sqlservice\Documents\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\sqlservice\Desktop\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\sqlservice\AppData\Roaming\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\sqlservice\AppData\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\sqlservice\AppData\LocalLow\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\sqlservice\AppData\Local\Temp\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\Public\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\Public\Downloads\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\les\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\les\Downloads\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\les\Documents\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\les\Desktop\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\les\AppData\Roaming\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\les\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\les\AppData\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\les\AppData\LocalLow\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\les\AppData\Local\Temp\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\kopach\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\kopach\Downloads\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\kopach\Documents\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\kopach\Desktop\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\kopach\AppData\Roaming\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\kopach\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\kopach\AppData\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\kopach\AppData\LocalLow\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\kopach\AppData\Local\Temp\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\Default\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\Default\Downloads\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\Default\Documents\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\Default\Desktop\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\Default\AppData\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\Default\AppData\Local\Temp\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\Default User\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\Default User\Downloads\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\Default User\Documents\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\Default User\Desktop\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\Default User\AppData\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\Default User\AppData\Local\Temp\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\adm\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\adm\Downloads\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\adm\Documents\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\adm\Desktop\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\adm\AppData\Roaming\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\adm\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\adm\AppData\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\adm\AppData\LocalLow\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\Users\adm\AppData\Local\Temp\README.txt
    2019-11-16 07:53 - 2019-11-16 07:53 - 000000059 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-11-16 07:52 - 2019-11-16 07:52 - 000000059 _____ C:\Users\Все пользователи\README.txt
    2019-11-16 07:52 - 2019-11-16 07:52 - 000000059 _____ C:\Users\Все пользователи\Documents\README.txt
    2019-11-16 07:52 - 2019-11-16 07:52 - 000000059 _____ C:\Users\Все пользователи\Desktop\README.txt
    2019-11-16 07:52 - 2019-11-16 07:52 - 000000059 _____ C:\Users\Public\Documents\README.txt
    2019-11-16 07:52 - 2019-11-16 07:52 - 000000059 _____ C:\Users\Public\Desktop\README.txt
    2019-11-16 07:52 - 2019-11-16 07:52 - 000000059 _____ C:\ProgramData\README.txt
    2019-11-16 07:52 - 2019-11-16 07:52 - 000000059 _____ C:\ProgramData\Documents\README.txt
    2019-11-16 07:52 - 2019-11-16 07:52 - 000000059 _____ C:\ProgramData\Desktop\README.txt
    2019-11-16 07:52 - 2019-11-16 07:52 - 000000059 _____ C:\Program Files (x86)\README.txt
    2019-11-16 07:36 - 2019-11-16 07:36 - 000000059 _____ C:\Program Files\README.txt
    2019-11-16 07:30 - 2019-11-16 07:30 - 000000059 _____ C:\Program Files\Common Files\README.txt
    2019-11-16 07:28 - 2019-11-16 07:28 - 000000059 _____ C:\Users\README.txt
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:
+ также C:\Users\user\Downloads\auto.exe[2221330632-1573888159][laud@tuta.io].zaj заархивируйте и прикрепите архив к следующему сообщению.
 
Комп подключить к сети интернет?
 
Можно не подключать.
 
Пользователи
 

Вложения

  • Screenshot_17.jpg
    Screenshot_17.jpg
    131.7 KB · Просмотры: 78
Это после выполнения скрипта?
 
нет, ничего не делал
только сменил пароли пользователей через liveCD
Своим вопросом я подразумевал - известны ли вам эти администраторы системы?
нет
Захожу с User
 
Последнее редактирование:
сменил пароли пользователей через liveCD
Речь шла не об этом, а о паролях для удаленного доступа RDP (Remote Desktop Protocol), которые меняются средствами самой системы.

Если у User есть права администратора, выполните остальное.
 
Последнее редактирование:
Отправляю
 

Вложения

  • Romaks.rar
    937.7 KB · Просмотры: 1
Это последняя версия Cryakl. Расшифровки нет
 
Последнее редактирование:
Тогда на это все, чем можно помочь. Латайте внешний периметр и удачи.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу