• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки [email protected]

Vitaliy495

Новый пользователь
Сообщения
7
Реакции
1
Баллы
3
Помогите расшифровать данные
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,317
Реакции
13,334
Баллы
2,203
Все учетные записи ваши? Смените пароли на RDP
Admin (S-1-5-21-1453403661-2999869678-3572011397-1001 - Administrator - Enabled) => C:\Users\Admin
User (S-1-5-21-1453403661-2999869678-3572011397-1004 - Administrator - Enabled) => C:\Users\User

По расшифровке. Судя по всему это фобос, для которого нет дешифровки, но на всякий случай прикрепите образец зашифрованного файла в архиве.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    (WaspAce) [File not signed] C:\Users\Admin\AppData\Local\Ubisoft\wahiver.exe
    HKU\S-1-5-21-1453403661-2999869678-3572011397-1001\...\Run: [InstallPath] => C:\Users\Admin\AppData\Local\Ubisoft\wahiver.exe [9908190 2018-12-04] (WaspAce) [File not signed]
    HKU\S-1-5-21-1453403661-2999869678-3572011397-1001\...\Run: [AntiRecuvaAndDB] => C:\Users\Admin\AppData\Local\AntiRecuvaAndDB.exe [58368 2020-01-29] () [File not signed]
    Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe [2020-01-29] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe [2020-01-29] () [File not signed]
    Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AntiRecuvaAndDB.exe [2020-01-29] () [File not signed]
    2020-03-14 01:03 - 2020-03-14 08:44 - 000006922 _____ C:\Users\Admin\Desktop\info.hta
    2020-03-14 01:03 - 2020-03-14 08:44 - 000000207 _____ C:\Users\Admin\Desktop\info.txt
    2020-03-14 01:03 - 2020-01-29 22:46 - 000058368 _____ C:\Users\Admin\AppData\Local\AntiRecuvaAndDB.exe
    2020-03-14 01:02 - 2020-03-14 01:02 - 000000020 ___SH C:\Users\Admin\ntuser.ini
    2020-03-14 00:37 - 2020-03-14 01:21 - 000006922 _____ C:\Users\Public\Desktop\info.hta
    2020-03-14 00:37 - 2020-03-14 00:37 - 000006922 _____ C:\Users\User\Desktop\info.hta
    2020-03-14 00:37 - 2020-03-14 00:37 - 000000207 _____ C:\Users\User\Desktop\info.txt
    2020-03-14 00:32 - 2020-01-29 22:46 - 000058368 _____ C:\Users\User\AppData\Local\AntiRecuvaAndDB.exe
    2020-03-14 01:03 - 2020-01-29 22:46 - 000058368 _____ () C:\Users\Admin\AppData\Local\AntiRecuvaAndDB.exe
    CustomCLSID: HKU\S-1-5-21-1453403661-2999869678-3572011397-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Admin\AppData\Local\Microsoft\OneDrive\19.232.1124.0008\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1453403661-2999869678-3572011397-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Admin\AppData\Local\Microsoft\OneDrive\19.232.1124.0008\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-1453403661-2999869678-3572011397-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Admin\AppData\Local\Microsoft\OneDrive\19.232.1124.0008\amd64\FileSyncShell64.dll => No File
    ContextMenuHandlers1: [Kaspersky Anti-Virus] -> {dd230880-495a-11d1-b064-008048ec2fc5} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows\x64\ShellEx.dll -> No File
    ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll -> No File
    ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll -> No File
    ContextMenuHandlers2: [Kaspersky Anti-Virus] -> {dd230880-495a-11d1-b064-008048ec2fc5} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows\x64\ShellEx.dll -> No File
    ContextMenuHandlers4: [Kaspersky Anti-Virus] -> {dd230880-495a-11d1-b064-008048ec2fc5} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows\x64\ShellEx.dll -> No File
    ContextMenuHandlers6: [Kaspersky Anti-Virus] -> {dd230880-495a-11d1-b064-008048ec2fc5} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows\x64\ShellEx.dll -> No File
    ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll -> No File
    ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll -> No File
    FirewallRules: [{6943D77E-708C-4064-84F2-FF30F54FCB9B}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe No File
    FirewallRules: [{09E91027-48C0-456D-B585-28D8F53F30CB}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe No File
    FirewallRules: [TCP Query User{7A571119-A260-4B86-8878-549E55FA8FCB}C:\users\admin\appdata\local\ubisoft\wasp.exe] => (Allow) C:\users\admin\appdata\local\ubisoft\wasp.exe No File
    FirewallRules: [UDP Query User{DEC36BD9-4C30-464D-ACAF-7D538244F2C2}C:\users\admin\appdata\local\ubisoft\wasp.exe] => (Allow) C:\users\admin\appdata\local\ubisoft\wasp.exe No File
    FirewallRules: [TCP Query User{48924866-5A06-4C4A-A2BE-0A24CBD0D68B}C:\users\admin\appdata\local\ubisoft\waspwing.exe] => (Allow) C:\users\admin\appdata\local\ubisoft\waspwing.exe No File
    FirewallRules: [UDP Query User{DDCD64C3-A902-428A-A306-A7F14838D751}C:\users\admin\appdata\local\ubisoft\waspwing.exe] => (Allow) C:\users\admin\appdata\local\ubisoft\waspwing.exe No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Vitaliy495

Новый пользователь
Сообщения
7
Реакции
1
Баллы
3
после скрипта
вопрос , как так получилось...и как избежать потом таких проблем?
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,317
Реакции
13,334
Баллы
2,203
Прячьте RDP за VPN, устанавливайте патчи безопасности. +++ microsoft/SecCon-Framework

По поводу дешифровки. Для этого вымогателя пока нет способа дешифровки данных. Можно только попробовать восстановить БД 1с.
 

akok

Команда форума
Администратор
Сообщения
19,317
Реакции
13,334
Баллы
2,203
+++ с пользователями с админ. правами разобрались?
 

akok

Команда форума
Администратор
Сообщения
19,317
Реакции
13,334
Баллы
2,203
SMB используете?
 

Vitaliy495

Новый пользователь
Сообщения
7
Реакции
1
Баллы
3
SMB используете?
это расшаривание папок?
если через рдп шара, то надо проверить
 
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
19,317
Реакции
13,334
Баллы
2,203
SMB (Server Message Block) – сетевой протокол для удаленного доступа к файлам и принтерам. Именно он используется при подключении ресурсов через \servername\sharename. Протокол изначально работал поверх NetBIOS, используя порты UDP 137, 138 и TCP 137, 139. С выходом Windows 2000 стал работать напрямую, используя порт TCP 445. SMB используется также для входа в домен Active Directory и работы в нем.
 

Vitaliy495

Новый пользователь
Сообщения
7
Реакции
1
Баллы
3
Прячьте RDP за VPN, устанавливайте патчи безопасности. +++ microsoft/SecCon-Framework

По поводу дешифровки. Для этого вымогателя пока нет способа дешифровки данных. Можно только попробовать восстановить БД 1с.
как оказалось 1 БД 1с зашифровал..как быть..она 1.5 гигабайта
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,736
Реакции
2,064
Баллы
643

Vitaliy495

Новый пользователь
Сообщения
7
Реакции
1
Баллы
3
спасибо..нашли бекап...до которого вирус не смог добраться
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,736
Реакции
2,064
Баллы
643
Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Сверху Снизу