• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. email-biger@x-mail.pro.ver-CL 1.5.1.0.id-2623411926-603483217603829188590266

Статус
В этой теме нельзя размещать новые ответы.

Виктор Гуров

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Помогите расшифровать.
Вот несколько файлов к примеру.
 

Вложения

Последнее редактирование:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,471
Реакции
1,848
Баллы
563
Здравствуйте!

Начните с правил раздела.
 

Виктор Гуров

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
архив с зашифрованными файлами, и логи. виндовс переустановил на сервере, данные логи собраны с личной машины.
 

Вложения

Последнее редактирование:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,471
Реакции
1,848
Баллы
563
@Виктор Гуров, разве в правилах об этих логах написано?
Нужен результат работы Autologger.
+
Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
 

Виктор Гуров

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Присылаю логи. + Decrypt.rar в нем расположены: зашифрованный файл и исходный, текст вымогателей, и еще один для примера зашифрованный.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,471
Реакции
1,848
Баллы
563
Читаем правила вместе :)
  • После распаковки у вас появится файл AutoLogger.exe, запустите его и следуйте выводимым рекомендациям.
  • Дождитесь окончания работы сбора логов.
  • По окончанию работы в папке AutoLogger, расположенной там же, куда распаковали архив, вы найдёте новый архив со своими логами. Архив имеет имя CollectionLog-yyyy.mm.dd-hh.mm. Где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2017.10.30-22.15
  • Прикрепите его к Вашему сообщению
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,471
Реакции
1,848
Баллы
563
MinerGate [2018/04/23 11:58:58]-->C:\Program Files\MinerGate\Uninstall.exe - ставили самостоятельно?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,471
Реакции
1,848
Баллы
563
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {0C5B2114-A6F3-43AC-911A-3F2902A79F8A} - \GoogleUpdateSecurityTaskMachine_XA -> No File <==== ATTENTION
    Task: {14D1DA3D-4CB2-4940-8BFB-D3FF7DC50F74} - \GoogleUpdateSecurityTaskMachine_YE -> No File <==== ATTENTION
    Task: {2ABEBAB8-35C3-4EF5-8AA7-3BF7ABFB7CC5} - \{0E0C0847-047D-080B-7811-0F0A05041109} -> No File <==== ATTENTION
    Task: {3FE167DD-C725-49C1-AAA4-ED07D95A4C8B} - \{2926F9CA-45F3-4895-8A27-F17D9405B2C0} -> No File <==== ATTENTION
    Task: {5A213521-C9F3-4067-8211-0E037187DE43} - \{ABA77EC3-EFEA-4A7D-A98D-FA43DCBF6698} -> No File <==== ATTENTION
    Task: {751C7C79-8B30-4ED3-A8CE-8BA02127FBFC} - \{43AE794A-781C-4837-952F-B6B855EDFBE7} -> No File <==== ATTENTION
    Task: {78422B11-51B9-4963-B0C7-F70611865DFF} - \GoogleUpdateSecurityTaskMachine_HY -> No File <==== ATTENTION
    Task: {7E56DC4A-30CA-4B1A-923F-8CA96272FA99} - System32\Tasks\Six-SMS Dialog => C:\Windows\system32\rundll32.exe "C:\Program Files\Six-SMS Dialog\Six-SMS Dialog.dll",QBQgVc <==== ATTENTION
    Task: {81928E64-B0E3-4C12-ACFF-6A13DFAC1379} - \GoogleUpdateSecurityTaskMachine_SN -> No File <==== ATTENTION
    Task: {82CE64C8-BEC2-4D86-8905-5EE86E31AA92} - System32\Tasks\{C722CA22-7089-7D89-39A8-6CB71A0066A9} => C:\ProgramData\{1440F27D-A3EB-45D6-EDC1-D3EEB470B6E6}\E4C31265-5368-A5CE-B748-06FDC476B8EE.exe <==== ATTENTION
    Task: {86344E1F-579D-429F-B186-5CC8828B5029} - \{815D22A1-6868-4192-9668-6B3C28AC88D8} -> No File <==== ATTENTION
    Task: {86F0051F-6C04-4586-97B3-8EE0B944DF8C} - \GoogleUpdateSecurityTaskMachine_CT -> No File <==== ATTENTION
    Task: {9557A449-CB89-49B5-9552-89C8163A54C3} - System32\Tasks\{402A874D-3698-5E16-6CA4-31FE2AC06873} => C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\c8f9210c\cf9bd03d.dll" <==== ATTENTION
    Task: {9D7D791A-F838-485E-956C-C98C6305C2E9} - \{5FBD4169-A152-4959-AA03-80CDE19662E0} -> No File <==== ATTENTION
    Task: {A14B6A33-4430-4A7A-AB92-3BD03EA7A53C} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.90 Online" "1521449982835" "2f3b143f-9efd-4c53-ad9a-2c6ca25c0d18"
    Task: {A14B6A33-4430-4A7A-AB92-3BD03EA7A53C} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
    Task: {E0A68B20-0638-45F4-99E8-3F7BCBC5B742} - System32\Tasks\48DCFEC6-DC24-4C2C-2E95-8B478FE9612A => C:\Windows\SysWOW64\regsvr32.exe /n /s /i:"/6aec412bcfd5d222 /q" "C:\Users\super\AppData\Local\B6DAFE~1\{CF9BD~1." <==== ATTENTION
    Task: {E6BBE7E4-3EAE-4AF3-AD3B-9B460CC55057} - \{718AFDE8-4737-44EF-A31E-910D3B804CE6} -> No File <==== ATTENTION
    Task: {E72615C0-55EE-4329-84B1-146C8CBE171A} - \GoogleUpdateSecurityTaskMachine_MD -> No File <==== ATTENTION
    HKU\S-1-5-21-2236649142-2851017415-1145311200-1113\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYlxkByIJEBc5YydXyFD3rIYGgO6rh2RvadNwc-ySsRtRmCRbMbHb05AFIXN2bbdVttm60ogNt-PuOLt6qbvJcwYq-oveW680b7da-39X9-fUkt8eKBNcbOXZ8wAp4O7mui7m6PGw-4pNtMQt49_vecSBz-CHKfoAMuhthK3yo,&q={searchTerms}
    FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=820321
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\super\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2018-11-23] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/go_ffhp_update.json]
    FF Extension: (Пульс) - C:\Users\super\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\ntp-mail@corp.mail.ru.xpi [2019-01-31] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/ntp_mail_update.json]
    FF Extension: (Поиск Mail.Ru) - C:\Users\super\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2018-11-22] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/searchff/update.json]
    FF Extension: (Пульт) - C:\Users\super\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-03-19] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/ff_pult/update.json]
    FF Extension: (Пульс) - C:\Program Files (x86)\Mozilla Firefox\distribution\extensions\ntp-mail@corp.mail.ru.xpi [2019-01-25] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/ntp_mail_update.json]
    C:\Users\super\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha
    S2 UbarCalloutDriver; \??\C:\Program Files\UBar\UbarDriver.sys [X] <==== ATTENTION
    2017-09-26 11:49 - 2017-09-26 11:58 - 000016176 _____ () C:\Users\super\AppData\Local\InstallationConfiguration.xml
    2017-09-26 11:49 - 2017-09-26 11:49 - 000140800 _____ () C:\Users\super\AppData\Local\installer.dat
    2017-09-26 11:59 - 2017-09-26 11:59 - 000005568 _____ () C:\Users\super\AppData\Local\md.xml
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    Hosts:
    FirewallRules: [{7EA6391D-C118-4772-95EE-7CD0BC5306C5}] => (Allow) C:\Program Files\UBar\ubar.exe No File
    FirewallRules: [{69BADA17-5F3B-45D8-9274-4C62B82A9863}] => (Allow) C:\Program Files (x86)\DriverPack Cloud\cloud.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,471
Реакции
1,848
Баллы
563
Проверьте ЛС.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,471
Реакции
1,848
Баллы
563
Окончательный результат сообщите здесь, пожалуйста.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,471
Реакции
1,848
Баллы
563
Тему могу пометить решённой?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,471
Реакции
1,848
Баллы
563
В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу