• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Добрый вечер прошу помощи в расшифровки нового вируса recoverysql@protonmail.com

  • Автор темы Автор темы krik
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.
логи
 

Вложения

я нашел сам вирус. если необходимо могу выслать?
 
что то еще необходимо выслать?
 
осторожно сразу начинает запуск
 
Ваше?
() [File not signed] C:\ProgramData\Epobiva\Flawe.exe
() [File not signed] C:\ProgramData\Epobiva\Nwala.exe

C:\Users\Администратор\AppData\Roaming\Info.hta - тоже прикрепите в архиве.
 
Похоже это разновидность dhrama, для нее нет расшифровки (кроме самих преступников), но точнее ответит @thyrex, возможна ли расшифровка.
 
() [File not signed] C:\ProgramData\Epobiva\Flawe.exe
() [File not signed] C:\ProgramData\Epobiva\Nwala.exe
к сожалению этот каталог пуст.
@thyrex когда можно будет к нему обратиться?
 

Вложения

  • Info.rar
    Info.rar
    9.4 KB · Просмотры: 1
Последнее редактирование:
имея 2 одинаковых файла зашифрованный и нет что то возможно сделать? или не реально
 
Система под переустановку или будем чистить?
 
C:\copy - батники ваши?

Все администраторы ваши? Смените пароли на RDP
==================== Accounts: =============================

EgorovA (S-1-5-21-2516416483-2825679557-2503729729-1006 - Administrator - Enabled) => C:\Users\EgorovA
EgorovaN (S-1-5-21-2516416483-2825679557-2503729729-1005 - Administrator - Enabled)
kirilov (S-1-5-21-2516416483-2825679557-2503729729-1004 - Administrator - Enabled) => C:\Users\kirilov
lehahd (S-1-5-21-2516416483-2825679557-2503729729-1001 - Administrator - Enabled)
mobi (S-1-5-21-2516416483-2825679557-2503729729-1007 - Administrator - Disabled) => C:\Users\mobi
terminal (S-1-5-21-2516416483-2825679557-2503729729-1003 - Administrator - Enabled)
user (S-1-5-21-2516416483-2825679557-2503729729-1002 - Administrator - Enabled) => C:\Users\user
Администратор (S-1-5-21-2516416483-2825679557-2503729729-500 - Administrator - Enabled) => C:\Users\Администратор

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\ProgramData\Epobiva\Nwala.exe;C:\ProgramData\Epobiva\Flawe.exe;
    HKLM\...\Run: [1.exe] => C:\Users\Администратор\AppData\Roaming\1.exe [94720 2019-10-25] () [File not signed]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13936 2019-10-25] () [File not signed]
    HKLM\...\Run: [C:\Users\user\AppData\Roaming\Info.hta] => C:\Users\user\AppData\Roaming\Info.hta [13936 2019-10-25] () [File not signed]
    HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13936 2019-10-25] () [File not signed]
    C:\Users\Администратор\AppData\Roaming\1.exe
    2019-10-25 01:50 - 2019-10-25 09:17 - 000013936 _____ C:\Windows\system32\Info.hta
    2019-10-25 01:50 - 2019-10-25 09:17 - 000000232 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
    2019-10-25 01:50 - 2019-10-25 09:17 - 000000232 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-10-25 01:50 - 2019-10-25 09:17 - 000000232 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2019-10-25 01:50 - 2019-10-25 09:17 - 000000232 _____ C:\FILES ENCRYPTED.txt
    2019-10-25 01:50 - 2019-10-25 01:50 - 000013936 _____ C:\Users\user\AppData\Roaming\Info.hta
    2019-10-25 01:50 - 2019-10-25 01:50 - 000000232 _____ C:\Users\user\Desktop\FILES ENCRYPTED.txt
    
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 
добрый день. включил сервер сегодня хотел выполнить вашу инструкцию. забыл из трэи выгрузить вирус. он опять все зашифровал. интернет не был подключен. значит шифратор храниться на сервере?
 
Вы не ответили на предыдущие вопросы.
 
  • Like
Реакции: akok
добрый день. включил сервер сегодня хотел выполнить вашу инструкцию. забыл из трэи выгрузить вирус. он опять все зашифровал. интернет не был подключен. значит шифратор храниться на сервере?
В точку, он был в автозапуске.
 
сорy файлы мои. фалы личкой отправить или сюда? я вроде прикрепил отчет?!
повторо высылаю
не на всех пользователях были админовские пароли.
 

Вложения

Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу