• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Нарвался на шифровальщика. Видимо Dharma (.cezar Family)

Статус
В этой теме нельзя размещать новые ответы.

a.v.frolov

Новый пользователь
Сообщения
7
Реакции
1
Доброго времени суток!
Был открыт RDP 3389 с пробросом в интернет без пароля. Через этого пользователя и зашел троян, как я понимаю.
Имеются как зашифрованые файлы, так и оригиналы.
Также имеется тело вируса, как я понимаю.
Прикладываю все.
Пароль на архивы с вирусом - virus
Написал письмо вымогателям. Текст ответа тоже прикладываю.
Если есть возможность помочь - буду благодарен.
 

Вложения

  • CollectionLog-2019.12.05-18.16.zip
    119.2 KB · Просмотры: 1
  • Зашифрованые.rar
    1.3 MB · Просмотры: 2
  • Оригиналы.rar
    1.2 MB · Просмотры: 0
  • mail.txt
    1.2 KB · Просмотры: 1
  • payload.rar
    63.8 KB · Просмотры: 0
  • Info.rar
    5.2 KB · Просмотры: 1
Здравствуйте!

Видимо Dharma (.cezar Family)
Верно. К сожалению, расшифровки нет.

Combofix вы напрасно запускали. Удалите следы:
Скачайте OTCleanIt, запустите, нажмите Clean up.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Затем:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Ну, чтож... есть смысл ждать дешифратор? или это может занять года?
COmbofix не запускал. Когда-то ранее, может с полгода назад.
 
ждать дешифратор? или это может занять года?
Однозначного ответа нет. Известны случаи, когда злодеи сами отдавали ключи, когда их ловили и изымали сервера. Но расшифровка может и не появиться вообще.

Когда-то ранее, может с полгода назад
Следы видны, поэтому сделайте очистку предложенным способом.
 
Спасибо, за вашу работу и нужное дело. Прикрепляю отчет. Буду надеяться на появление ключей.
 

Вложения

  • AdwCleaner[C01].txt
    6.9 KB · Просмотры: 2
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Доброго времени суток!
Прикладываю файлы. Данное ПО, что-то из серии ComboFix?
 

Вложения

  • Addition.txt
    95.1 KB · Просмотры: 1
  • FRST.txt
    67.3 KB · Просмотры: 1
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction - Windows Defender <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HomePage: Default -> mail.ru
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://www.yandex.ru/?win=100&clid=2073737"
    CHR HKLM-x32\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok]
    CHR HKLM-x32\...\Chrome\Extension: [ahnphcmhmhcjjcjhmnnjjlbmaeljecga]
    CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb]
    CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi]
    CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm]
    CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj]
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
    AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [149]
    AlternateDataStreams: C:\Users\home\Desktop\КИМ.exe:KAVICHS [74]
    HKU\S-1-5-21-2615409057-564666879-4166609619-1000\Software\Classes\.scr:  =>  <==== ATTENTION
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Готово
 

Вложения

  • Fixlog.txt
    2.6 KB · Просмотры: 1
В завершение:
1. Смените пароли на RDP.

2.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Доброго времени суток!
Извиняюсь, что надолго пропал, завалило работой до жути. Конец года. Заметил на днях такой момент, некоторые зашифрованные фото, открываются в просмотре на гугл диске.
 
Разобрался. Остались предыдущие версии файлов
 
Рекомендации из сообщения 11 проделайте всё же.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу