• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Как расшифровать файлы, зараженные Trojan.Encoder.567?

Статус
В этой теме нельзя размещать новые ответы.

siramax

Новый пользователь
Сообщения
6
Реакции
0
Приветствую господа!


В общем утром зашел, а там сюрприз

Во вложениях логи, файлы зараженный и нет и папка с самим шифровальщиком

Можно ли расшифровать?
 

Вложения

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\taskger.exe', '');
 QuarantineFile('C:\RECYCLER\1.exe', '');
 QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
 QuarantineFile('C:\Windows\SysWOW64\server.exe', '');
 DeleteFile('C:\ProgramData\taskger.exe', '32');
 DeleteFile('C:\ProgramData\taskger.exe', '64');
 DeleteFile('C:\RECYCLER\1.exe', '64');
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '64');
 DeleteFile('C:\Windows\SysWOW64\server.exe', '64');
 DeleteService('mssecsvc2.0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Aut2', 'command', '64');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'admin', 'x64');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'MinerService', '32');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'MinerService', '64');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'MinerService', 'x64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run', 'admin', 'x64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run', 'MinerService', 'x64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Aut2', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Aut3', '64');
ExecuteSysClean;
 ExecuteRepair(9);
end.

Пожалуйста, перезагрузите компьютер вручную.


После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Инструкции по расшифровке будут после чистки системы
 
сделано
akok, что почистить ?
 

Вложения

Последнее редактирование:
Судя по скриптам выше, у вас еще майнер живет. Некоторые преступники оставляют в нагрузку к шифровальщику.
 
все что нашел касперский Small office - удалил

свежий лог во вложении

жив еще майнер и каковы дальнейшие действия?
 

Вложения

Лог автолера выше это от этой же машины?
Сами настраивали?
HKLM Group Policy restriction on software: C:\PROGRAM FILES\ESET\ESET ENDPOINT ANTIVIRUS\X86\EKRN.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\PROGRAM FILES\ESET\ESET ENDPOINT ANTIVIRUS\EGUI.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\PROGRAM FILES\ESET\ESET ENDPOINT ANTIVIRUS\EGUI.EXE <==== ATTENTION
Знакомо?
C:\ProgramData\National\loader_xmr.exe

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Task: {62BE16F6-B0CC-4DEA-92C5-E8051E37AF10} - \45645 -> No File <==== ATTENTION
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\Downloads\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\Documents\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\Desktop\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\AppData\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Администратор\AppData\Local\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Public\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Public\Downloads\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\Downloads\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\Documents\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\Desktop\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\AppData\Roaming\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\AppData\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\AppData\LocalLow\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\AppData\Local\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\Downloads\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\Documents\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\Desktop\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\AppData\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\AppData\Local\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\Documents\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\AppData\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\Downloads\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\Documents\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\Desktop\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\AppData\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\AppData\LocalLow\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\AppData\Local\README.txt
    2019-06-25 03:06 - 2019-06-25 03:06 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 03:04 - 2019-06-25 03:12 - 000001259 _____ C:\Users\Все пользователи\README.txt
    2019-06-25 03:04 - 2019-06-25 03:12 - 000001259 _____ C:\ProgramData\README.txt
    2019-06-25 03:04 - 2019-06-25 03:07 - 000001259 _____ C:\Users\Все пользователи\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 03:04 - 2019-06-25 03:07 - 000001259 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 03:04 - 2019-06-25 03:07 - 000001259 _____ C:\Users\Public\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 03:04 - 2019-06-25 03:07 - 000001259 _____ C:\ProgramData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 03:04 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Public\Documents\README.txt
    2019-06-25 03:04 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Public\Desktop\README.txt
    2019-06-25 03:04 - 2019-06-25 03:04 - 000000061 _____ C:\Program Files (x86)\README.txt
    2019-06-25 03:02 - 2019-06-25 03:02 - 000000061 _____ C:\Program Files\README.txt
    2019-06-25 03:01 - 2019-06-25 03:07 - 000001259 _____ C:\Users\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 03:01 - 2019-06-25 03:01 - 000000061 _____ C:\Program Files\Common Files\README.txt
    2019-06-25 02:59 - 2019-06-25 03:12 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Process Hacker 2
    2019-06-25 03:02 - 2019-06-25 03:02 - 000000061 _____ () C:\Program Files\README.txt
    2019-06-25 03:04 - 2019-06-25 03:04 - 000000061 _____ () C:\Program Files (x86)\README.txt
    2019-06-25 03:01 - 2019-06-25 03:01 - 000000061 _____ () C:\Program Files\Common Files\README.txt
    2019-06-25 03:02 - 2019-06-25 03:02 - 000000061 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ () C:\Users\Администратор\AppData\Roaming\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ () C:\Users\Администратор\AppData\Local\README.txt
    FirewallRules: [{4D867255-3F38-4DF3-8F46-3D12F1E5A59E}] => (Allow) D:\3proxy\bin\3proxy.exe No File
    FirewallRules: [{2DC2DAD4-F422-4879-B34D-6DCFACD5C596}] => (Allow) D:\3proxy\bin\3proxy.exe No File
    FirewallRules: [{37D45113-46AC-4C62-8EEC-848B18B905FB}] => (Allow) D:\3proxy\bin\3proxy.exe No File
    FirewallRules: [{55583F24-E2F4-4570-B86F-1EF19E718D15}] => (Allow) D:\3proxy\bin\3proxy.exe No File
    FirewallRules: [{28BAEC28-5809-41A4-A8CA-9CCF4F20A2AA}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
    FirewallRules: [{CB3385A7-AFD1-45D0-A001-0383CFDFB6F2}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
    FirewallRules: [{C14C7972-6614-4401-AD0D-DA01ED27661D}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{FD0BC153-21EF-49C5-BA2C-BC307C03A8FA}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 
реестр вроде про nod32 (стоял когда то)

в ProgramData не знакома папочка

лог во вложении
 

Вложения

Проверьте ЛС
 
отписываюсь:

дешифратор помог на ~80%
расшифровалось практически все кроме больших (>2Гб) файлов баз данных (самое главное бэкапы расшифровались отлично), службы MS SQL отказались запускаться и восстанавливаться (ссылаясь на проблемы безопасности), ну а другое не сильно проверял так как некритично.
касперский тоже прислал дешифратор, но почти через 1,5 суток после обращения, для некоторых это может быть критично

Парни Вам огромное спасибо за решение проблемы и оперативность (спасибка прилетит обязательно)!
 
По большим файлам известная проблема, разработчик обещал исправить.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу