• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Добрый вечер прошу помощи в расшифровки нового вируса recoverysql@protonmail.com

krik

Новый пользователь
Сообщения
19
Реакции
0
Баллы
1
я нашел сам вирус. если необходимо могу выслать?
 

krik

Новый пользователь
Сообщения
19
Реакции
0
Баллы
1
что то еще необходимо выслать?
 

krik

Новый пользователь
Сообщения
19
Реакции
0
Баллы
1
осторожно сразу начинает запуск
 

akok

Команда форума
Администратор
Сообщения
17,984
Реакции
13,570
Баллы
2,203
Ваше?
() [File not signed] C:\ProgramData\Epobiva\Flawe.exe
() [File not signed] C:\ProgramData\Epobiva\Nwala.exe

C:\Users\Администратор\AppData\Roaming\Info.hta - тоже прикрепите в архиве.
 

akok

Команда форума
Администратор
Сообщения
17,984
Реакции
13,570
Баллы
2,203
Похоже это разновидность dhrama, для нее нет расшифровки (кроме самих преступников), но точнее ответит @thyrex, возможна ли расшифровка.
 

krik

Новый пользователь
Сообщения
19
Реакции
0
Баллы
1
() [File not signed] C:\ProgramData\Epobiva\Flawe.exe
() [File not signed] C:\ProgramData\Epobiva\Nwala.exe
к сожалению этот каталог пуст.
@thyrex когда можно будет к нему обратиться?
 

Вложения

Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,761
Реакции
2,540
Баллы
593
Да, шансов никаких.
 

krik

Новый пользователь
Сообщения
19
Реакции
0
Баллы
1
имея 2 одинаковых файла зашифрованный и нет что то возможно сделать? или не реально
 

akok

Команда форума
Администратор
Сообщения
17,984
Реакции
13,570
Баллы
2,203
Система под переустановку или будем чистить?
 

akok

Команда форума
Администратор
Сообщения
17,984
Реакции
13,570
Баллы
2,203
C:\copy - батники ваши?

Все администраторы ваши? Смените пароли на RDP
==================== Accounts: =============================

EgorovA (S-1-5-21-2516416483-2825679557-2503729729-1006 - Administrator - Enabled) => C:\Users\EgorovA
EgorovaN (S-1-5-21-2516416483-2825679557-2503729729-1005 - Administrator - Enabled)
kirilov (S-1-5-21-2516416483-2825679557-2503729729-1004 - Administrator - Enabled) => C:\Users\kirilov
lehahd (S-1-5-21-2516416483-2825679557-2503729729-1001 - Administrator - Enabled)
mobi (S-1-5-21-2516416483-2825679557-2503729729-1007 - Administrator - Disabled) => C:\Users\mobi
terminal (S-1-5-21-2516416483-2825679557-2503729729-1003 - Administrator - Enabled)
user (S-1-5-21-2516416483-2825679557-2503729729-1002 - Administrator - Enabled) => C:\Users\user
Администратор (S-1-5-21-2516416483-2825679557-2503729729-500 - Administrator - Enabled) => C:\Users\Администратор

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\ProgramData\Epobiva\Nwala.exe;C:\ProgramData\Epobiva\Flawe.exe;
    HKLM\...\Run: [1.exe] => C:\Users\Администратор\AppData\Roaming\1.exe [94720 2019-10-25] () [File not signed]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13936 2019-10-25] () [File not signed]
    HKLM\...\Run: [C:\Users\user\AppData\Roaming\Info.hta] => C:\Users\user\AppData\Roaming\Info.hta [13936 2019-10-25] () [File not signed]
    HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13936 2019-10-25] () [File not signed]
    C:\Users\Администратор\AppData\Roaming\1.exe
    2019-10-25 01:50 - 2019-10-25 09:17 - 000013936 _____ C:\Windows\system32\Info.hta
    2019-10-25 01:50 - 2019-10-25 09:17 - 000000232 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
    2019-10-25 01:50 - 2019-10-25 09:17 - 000000232 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-10-25 01:50 - 2019-10-25 09:17 - 000000232 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2019-10-25 01:50 - 2019-10-25 09:17 - 000000232 _____ C:\FILES ENCRYPTED.txt
    2019-10-25 01:50 - 2019-10-25 01:50 - 000013936 _____ C:\Users\user\AppData\Roaming\Info.hta
    2019-10-25 01:50 - 2019-10-25 01:50 - 000000232 _____ C:\Users\user\Desktop\FILES ENCRYPTED.txt
    
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

krik

Новый пользователь
Сообщения
19
Реакции
0
Баллы
1
добрый день. включил сервер сегодня хотел выполнить вашу инструкцию. забыл из трэи выгрузить вирус. он опять все зашифровал. интернет не был подключен. значит шифратор храниться на сервере?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,597
Реакции
1,860
Баллы
563
Вы не ответили на предыдущие вопросы.
 
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
17,984
Реакции
13,570
Баллы
2,203
добрый день. включил сервер сегодня хотел выполнить вашу инструкцию. забыл из трэи выгрузить вирус. он опять все зашифровал. интернет не был подключен. значит шифратор храниться на сервере?
В точку, он был в автозапуске.
 

krik

Новый пользователь
Сообщения
19
Реакции
0
Баллы
1
сорy файлы мои. фалы личкой отправить или сюда? я вроде прикрепил отчет?!
повторо высылаю
не на всех пользователях были админовские пароли.
 

Вложения

Последнее редактирование:
Сверху Снизу