• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Добрый вечер прошу помощи в расшифровки нового вируса recoverysql@protonmail.com

  • Автор темы Автор темы krik
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.
логи
 

Вложения

я нашел сам вирус. если необходимо могу выслать?
 
что то еще необходимо выслать?
 
осторожно сразу начинает запуск
 
Ваше?
() [File not signed] C:\ProgramData\Epobiva\Flawe.exe
() [File not signed] C:\ProgramData\Epobiva\Nwala.exe

C:\Users\Администратор\AppData\Roaming\Info.hta - тоже прикрепите в архиве.
 
Похоже это разновидность dhrama, для нее нет расшифровки (кроме самих преступников), но точнее ответит @thyrex, возможна ли расшифровка.
 
() [File not signed] C:\ProgramData\Epobiva\Flawe.exe
() [File not signed] C:\ProgramData\Epobiva\Nwala.exe
к сожалению этот каталог пуст.
@thyrex когда можно будет к нему обратиться?
 

Вложения

  • Info.rar
    Info.rar
    9.4 KB · Просмотры: 1
Последнее редактирование:
имея 2 одинаковых файла зашифрованный и нет что то возможно сделать? или не реально
 
Система под переустановку или будем чистить?
 
C:\copy - батники ваши?

Все администраторы ваши? Смените пароли на RDP
==================== Accounts: =============================

EgorovA (S-1-5-21-2516416483-2825679557-2503729729-1006 - Administrator - Enabled) => C:\Users\EgorovA
EgorovaN (S-1-5-21-2516416483-2825679557-2503729729-1005 - Administrator - Enabled)
kirilov (S-1-5-21-2516416483-2825679557-2503729729-1004 - Administrator - Enabled) => C:\Users\kirilov
lehahd (S-1-5-21-2516416483-2825679557-2503729729-1001 - Administrator - Enabled)
mobi (S-1-5-21-2516416483-2825679557-2503729729-1007 - Administrator - Disabled) => C:\Users\mobi
terminal (S-1-5-21-2516416483-2825679557-2503729729-1003 - Administrator - Enabled)
user (S-1-5-21-2516416483-2825679557-2503729729-1002 - Administrator - Enabled) => C:\Users\user
Администратор (S-1-5-21-2516416483-2825679557-2503729729-500 - Administrator - Enabled) => C:\Users\Администратор

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
VirusTotal: C:\ProgramData\Epobiva\Nwala.exe;C:\ProgramData\Epobiva\Flawe.exe;
HKLM\...\Run: [1.exe] => C:\Users\Администратор\AppData\Roaming\1.exe [94720 2019-10-25] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13936 2019-10-25] () [File not signed]
HKLM\...\Run: [C:\Users\user\AppData\Roaming\Info.hta] => C:\Users\user\AppData\Roaming\Info.hta [13936 2019-10-25] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13936 2019-10-25] () [File not signed]
C:\Users\Администратор\AppData\Roaming\1.exe
2019-10-25 01:50 - 2019-10-25 09:17 - 000013936 _____ C:\Windows\system32\Info.hta
2019-10-25 01:50 - 2019-10-25 09:17 - 000000232 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2019-10-25 01:50 - 2019-10-25 09:17 - 000000232 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2019-10-25 01:50 - 2019-10-25 09:17 - 000000232 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2019-10-25 01:50 - 2019-10-25 09:17 - 000000232 _____ C:\FILES ENCRYPTED.txt
2019-10-25 01:50 - 2019-10-25 01:50 - 000013936 _____ C:\Users\user\AppData\Roaming\Info.hta
2019-10-25 01:50 - 2019-10-25 01:50 - 000000232 _____ C:\Users\user\Desktop\FILES ENCRYPTED.txt

End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 
добрый день. включил сервер сегодня хотел выполнить вашу инструкцию. забыл из трэи выгрузить вирус. он опять все зашифровал. интернет не был подключен. значит шифратор храниться на сервере?
 
Вы не ответили на предыдущие вопросы.
 
  • Like
Реакции: akok
krik написал(а):
добрый день. включил сервер сегодня хотел выполнить вашу инструкцию. забыл из трэи выгрузить вирус. он опять все зашифровал. интернет не был подключен. значит шифратор храниться на сервере?
Нажмите для раскрытия...
В точку, он был в автозапуске.
 
сорy файлы мои. фалы личкой отправить или сюда? я вроде прикрепил отчет?!
повторо высылаю
не на всех пользователях были админовские пароли.
 

Вложения

Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

deitan
  • Закрыта
Решена Добрый вечер, хитрый вирус ворует сетевой трафик полностью, нет доступа к сайтам,при AVZ выкидывает в перезагрузку,FSR не помогает винда не грузится
2
Ответы
27
Просмотры
608
deitan
deitan
Candellmans
  • Статья Статья
Добрый вечер от Microsoft за 1700 евро
Ответы
0
Просмотры
278
Candellmans
Candellmans
serg_KS
  • Закрыта
Закрыто Добрый вечер. Зашифрован комп - omg@onlinehelp.host ].harma Нужна помощь.
Ответы
8
Просмотры
3K
akok
akok
Назад
Сверху Снизу