• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки paybtc777@cock.li

Все учетные записи ваши? Смените пароли на RDP
Admin (S-1-5-21-1453403661-2999869678-3572011397-1001 - Administrator - Enabled) => C:\Users\Admin
User (S-1-5-21-1453403661-2999869678-3572011397-1004 - Administrator - Enabled) => C:\Users\User

По расшифровке. Судя по всему это фобос, для которого нет дешифровки, но на всякий случай прикрепите образец зашифрованного файла в архиве.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
(WaspAce) [File not signed] C:\Users\Admin\AppData\Local\Ubisoft\wahiver.exe
HKU\S-1-5-21-1453403661-2999869678-3572011397-1001\...\Run: [InstallPath] => C:\Users\Admin\AppData\Local\Ubisoft\wahiver.exe [9908190 2018-12-04] (WaspAce) [File not signed]
HKU\S-1-5-21-1453403661-2999869678-3572011397-1001\...\Run: [AntiRecuvaAndDB] => C:\Users\Admin\AppData\Local\AntiRecuvaAndDB.exe [58368 2020-01-29] () [File not signed]
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe [2020-01-29] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe [2020-01-29] () [File not signed]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe [2020-01-29] () [File not signed]
2020-03-14 01:03 - 2020-03-14 08:44 - 000006922 _____ C:\Users\Admin\Desktop\info.hta
2020-03-14 01:03 - 2020-03-14 08:44 - 000000207 _____ C:\Users\Admin\Desktop\info.txt
2020-03-14 01:03 - 2020-01-29 22:46 - 000058368 _____ C:\Users\Admin\AppData\Local\AntiRecuvaAndDB.exe
2020-03-14 01:02 - 2020-03-14 01:02 - 000000020 ___SH C:\Users\Admin\ntuser.ini
2020-03-14 00:37 - 2020-03-14 01:21 - 000006922 _____ C:\Users\Public\Desktop\info.hta
2020-03-14 00:37 - 2020-03-14 00:37 - 000006922 _____ C:\Users\User\Desktop\info.hta
2020-03-14 00:37 - 2020-03-14 00:37 - 000000207 _____ C:\Users\User\Desktop\info.txt
2020-03-14 00:32 - 2020-01-29 22:46 - 000058368 _____ C:\Users\User\AppData\Local\AntiRecuvaAndDB.exe
2020-03-14 01:03 - 2020-01-29 22:46 - 000058368 _____ () C:\Users\Admin\AppData\Local\AntiRecuvaAndDB.exe
CustomCLSID: HKU\S-1-5-21-1453403661-2999869678-3572011397-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Admin\AppData\Local\Microsoft\OneDrive\19.232.1124.0008\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1453403661-2999869678-3572011397-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Admin\AppData\Local\Microsoft\OneDrive\19.232.1124.0008\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1453403661-2999869678-3572011397-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Admin\AppData\Local\Microsoft\OneDrive\19.232.1124.0008\amd64\FileSyncShell64.dll => No File
ContextMenuHandlers1: [Kaspersky Anti-Virus] -> {dd230880-495a-11d1-b064-008048ec2fc5} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows\x64\ShellEx.dll -> No File
ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll -> No File
ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll -> No File
ContextMenuHandlers2: [Kaspersky Anti-Virus] -> {dd230880-495a-11d1-b064-008048ec2fc5} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows\x64\ShellEx.dll -> No File
ContextMenuHandlers4: [Kaspersky Anti-Virus] -> {dd230880-495a-11d1-b064-008048ec2fc5} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows\x64\ShellEx.dll -> No File
ContextMenuHandlers6: [Kaspersky Anti-Virus] -> {dd230880-495a-11d1-b064-008048ec2fc5} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows\x64\ShellEx.dll -> No File
ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll -> No File
ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll -> No File
FirewallRules: [{6943D77E-708C-4064-84F2-FF30F54FCB9B}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe No File
FirewallRules: [{09E91027-48C0-456D-B585-28D8F53F30CB}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe No File
FirewallRules: [TCP Query User{7A571119-A260-4B86-8878-549E55FA8FCB}C:\users\admin\appdata\local\ubisoft\wasp.exe] => (Allow) C:\users\admin\appdata\local\ubisoft\wasp.exe No File
FirewallRules: [UDP Query User{DEC36BD9-4C30-464D-ACAF-7D538244F2C2}C:\users\admin\appdata\local\ubisoft\wasp.exe] => (Allow) C:\users\admin\appdata\local\ubisoft\wasp.exe No File
FirewallRules: [TCP Query User{48924866-5A06-4C4A-A2BE-0A24CBD0D68B}C:\users\admin\appdata\local\ubisoft\waspwing.exe] => (Allow) C:\users\admin\appdata\local\ubisoft\waspwing.exe No File
FirewallRules: [UDP Query User{DDCD64C3-A902-428A-A306-A7F14838D751}C:\users\admin\appdata\local\ubisoft\waspwing.exe] => (Allow) C:\users\admin\appdata\local\ubisoft\waspwing.exe No File
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
после скрипта
вопрос , как так получилось...и как избежать потом таких проблем?
 

Вложения

Последнее редактирование:
Прячьте RDP за VPN, устанавливайте патчи безопасности. +++ microsoft/SecCon-Framework

По поводу дешифровки. Для этого вымогателя пока нет способа дешифровки данных. Можно только попробовать восстановить БД 1с.
 
+++ с пользователями с админ. правами разобрались?
 
SMB (Server Message Block) – сетевой протокол для удаленного доступа к файлам и принтерам. Именно он используется при подключении ресурсов через \servername\sharename. Протокол изначально работал поверх NetBIOS, используя порты UDP 137, 138 и TCP 137, 139. С выходом Windows 2000 стал работать напрямую, используя порт TCP 445. SMB используется также для входа в домен Active Directory и работы в нем.
 
akok написал(а):
Прячьте RDP за VPN, устанавливайте патчи безопасности. +++ microsoft/SecCon-Framework

По поводу дешифровки. Для этого вымогателя пока нет способа дешифровки данных. Можно только попробовать восстановить БД 1с.
Нажмите для раскрытия...
как оказалось 1 БД 1с зашифровал..как быть..она 1.5 гигабайта
 
спасибо..нашли бекап...до которого вирус не смог добраться
 
Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

Ботан
Внимание пострадавшим от шифровальщика [bondaletov@cock.li].5D3d
Ответы
0
Просмотры
417
Ботан
Ботан
M
  • Закрыта
Решена без расшифровки Шифровальщик Сpriv.Loki [lokilock@cock.li]
Ответы
7
Просмотры
3K
Sandor
Sandor
E
  • Закрыта
Закрыто Вирус-шифровальщик Loki [filemanager@cock.li]
Ответы
5
Просмотры
2K
Sandor
Sandor
Назад
Сверху Снизу