• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Подхватили шифровальщик email-mryoba@cock.li.ver

Статус
В этой теме нельзя размещать новые ответы.
a_haliulin

a_haliulin

Новый пользователь
Сообщения
5
Реакции
0
Добрый день.

Предполагаю взлом RDP.
Слабый пароль пользователя.
Удалили под его правами comodo.
Зашифровали пользователя и шары с его правами.

KVRT обнаружил
trojan-PSW.win64.mimikatz.gen

trojan-ransom.win32.cryakl.gen

И самое интересное, не обнаружил на шаре теневых копий. (в логах ошибка,что диск перегружен)
 

Вложения

Последнее редактирование:
Здравствуйте!

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
HKLM-x32\...\RunOnce: [{D89FC86E-D43E-4C43-97E1-394A4DDCC0E9}] => cmd.exe /C start /D "C:\Users\A_CIBE~1\AppData\Local\Temp" /B {D89FC86E-D43E-4C43-97E1-394A4DDCC0E9}.cmd
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {3D029A0C-FECA-466D-B9D5-5711F67A0CF5} - System32\Tasks\MailRuUpdater => C:\Users\i_efimkov\AppData\Local\Mail.Ru\MailRuUpdater.exe <==== ATTENTION
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} -  No File
2019-09-09 06:50 - 2019-09-08 16:05 - 000000082 _____ C:\Users\e_barybina\README.txt
2019-09-09 06:50 - 2019-09-08 16:05 - 000000082 _____ C:\Users\e_barybina\Downloads\README.txt
2019-09-09 06:50 - 2019-09-08 16:05 - 000000082 _____ C:\Users\e_barybina\Documents\README.txt
2019-09-09 06:50 - 2019-09-08 16:05 - 000000082 _____ C:\Users\e_barybina\Desktop\README.txt
2019-09-09 06:50 - 2019-09-08 16:05 - 000000082 _____ C:\Users\e_barybina\AppData\Roaming\README.txt
2019-09-09 06:50 - 2019-09-08 16:05 - 000000082 _____ C:\Users\e_barybina\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-09-09 06:50 - 2019-09-08 16:05 - 000000082 _____ C:\Users\e_barybina\AppData\README.txt
2019-09-09 06:50 - 2019-09-08 16:05 - 000000082 _____ C:\Users\e_barybina\AppData\Local\README.txt
2019-09-08 21:20 - 2019-09-08 21:20 - 000000082 _____ C:\README.txt
2019-09-08 20:36 - 2019-09-08 20:36 - 000000082 _____ C:\Users\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\wangzhisong\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\wangzhisong\AppData\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\wangzhisong\AppData\Local\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\UR\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\UR\Downloads\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\UR\Documents\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\UR\Desktop\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\UR\AppData\Roaming\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\UR\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\UR\AppData\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\UR\AppData\LocalLow\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\UR\AppData\Local\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\Public\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\Public\Downloads\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\K_Klochkova\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\K_Klochkova\Downloads\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\K_Klochkova\Documents\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\K_Klochkova\Desktop\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\K_Klochkova\AppData\Roaming\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\K_Klochkova\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-09-08 20:35 - 2019-09-08 20:35 - 000000082 _____ C:\Users\K_Klochkova\AppData\README.txt
2019-09-08 20:34 - 2019-09-08 20:34 - 000000082 _____ C:\Users\K_Klochkova\AppData\LocalLow\README.txt
2019-09-08 20:32 - 2019-09-08 20:32 - 000000082 _____ C:\Users\K_Klochkova\AppData\Local\README.txt
2019-09-08 20:32 - 2019-09-08 20:32 - 000000082 _____ C:\Users\i_efimkov\README.txt
2019-09-08 20:32 - 2019-09-08 20:32 - 000000082 _____ C:\Users\i_efimkov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-09-08 19:03 - 2019-09-08 19:03 - 000000082 _____ C:\Users\i_efimkov\Downloads\README.txt
2019-09-08 19:03 - 2019-09-08 19:03 - 000000082 _____ C:\Users\i_efimkov\Documents\README.txt
2019-09-08 19:02 - 2019-09-08 19:02 - 000000082 _____ C:\Users\i_efimkov\Desktop\README.txt
2019-09-08 16:17 - 2019-09-08 16:17 - 000000082 _____ C:\Users\i_efimkov\AppData\Roaming\README.txt
2019-09-08 16:17 - 2019-09-08 16:17 - 000000082 _____ C:\Users\i_efimkov\AppData\README.txt
2019-09-08 16:10 - 2019-09-08 16:10 - 000000082 _____ C:\Users\i_efimkov\AppData\LocalLow\README.txt
2019-09-08 16:06 - 2019-09-08 16:06 - 000000082 _____ C:\Users\info\README.txt
2019-09-08 16:06 - 2019-09-08 16:06 - 000000082 _____ C:\Users\info\Downloads\README.txt
2019-09-08 16:06 - 2019-09-08 16:06 - 000000082 _____ C:\Users\info\Documents\README.txt
2019-09-08 16:06 - 2019-09-08 16:06 - 000000082 _____ C:\Users\info\Desktop\README.txt
2019-09-08 16:06 - 2019-09-08 16:06 - 000000082 _____ C:\Users\info\AppData\Roaming\README.txt
2019-09-08 16:06 - 2019-09-08 16:06 - 000000082 _____ C:\Users\info\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-09-08 16:06 - 2019-09-08 16:06 - 000000082 _____ C:\Users\info\AppData\README.txt
2019-09-08 16:06 - 2019-09-08 16:06 - 000000082 _____ C:\Users\info\AppData\LocalLow\README.txt
2019-09-08 16:06 - 2019-09-08 16:06 - 000000082 _____ C:\Users\i_efimkov\AppData\Local\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\info\AppData\Local\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\Default\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\Default\Downloads\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\Default\Documents\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\Default\Desktop\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\Default\AppData\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\Default\AppData\Local\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\Default User\Downloads\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\Default User\Documents\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\Default User\Desktop\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\Default User\AppData\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\Default User\AppData\Local\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\A_kuleshova\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\A_kuleshova\Downloads\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\A_kuleshova\Documents\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\A_kuleshova\Desktop\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\A_kuleshova\AppData\Roaming\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\A_kuleshova\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\A_kuleshova\AppData\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\A_kuleshova\AppData\LocalLow\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\A_kuleshova\AppData\Local\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\a_haliulin\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\a_haliulin\Downloads\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\a_haliulin\Documents\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\a_haliulin\Desktop\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\a_haliulin\AppData\Roaming\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\a_haliulin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\a_haliulin\AppData\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\a_haliulin\AppData\LocalLow\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\a_haliulin\AppData\Local\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\a_cibenko\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\a_cibenko\Downloads\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\a_cibenko\Documents\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\a_cibenko\Desktop\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\a_cibenko\AppData\Roaming\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\a_cibenko\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\a_cibenko\AppData\README.txt
2019-09-08 16:05 - 2019-09-08 16:05 - 000000082 _____ C:\Users\a_cibenko\AppData\LocalLow\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\Atr\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\Atr\Downloads\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\Atr\Documents\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\Atr\Desktop\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\Atr\AppData\Roaming\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\Atr\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\Atr\AppData\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\Atr\AppData\LocalLow\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\Atr\AppData\Local\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\Administrator\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\Administrator\Downloads\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\Administrator\Documents\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\Administrator\Desktop\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\Administrator\AppData\Roaming\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\Administrator\AppData\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\Administrator\AppData\LocalLow\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\Administrator\AppData\Local\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a_cibenko\AppData\Local\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a_cibenko\AppData\Local\Apps\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a_antipov\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a_antipov\Downloads\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a_antipov\Documents\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a_antipov\Desktop\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a_antipov\AppData\Roaming\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a_antipov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a_antipov\AppData\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a_antipov\AppData\LocalLow\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a_antipov\AppData\Local\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a.antipov\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a.antipov\Downloads\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a.antipov\Documents\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a.antipov\Desktop\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a.antipov\AppData\Roaming\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a.antipov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a.antipov\AppData\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a.antipov\AppData\LocalLow\README.txt
2019-09-08 16:00 - 2019-09-08 16:00 - 000000082 _____ C:\Users\a.antipov\AppData\Local\README.txt
2019-09-08 15:57 - 2019-09-08 15:57 - 000000082 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-09-08 15:56 - 2019-09-08 20:36 - 000000796 _____ C:\Users\Все пользователи\README.txt
2019-09-08 15:56 - 2019-09-08 20:36 - 000000796 _____ C:\ProgramData\README.txt
2019-09-08 15:56 - 2019-09-08 20:35 - 000000796 _____ C:\Users\Public\Documents\email-mryoba@cock.li.ver-CS 1.6.id-.fname-README.txt.cs16
2019-09-08 15:56 - 2019-09-08 20:35 - 000000796 _____ C:\Users\Public\Desktop\email-mryoba@cock.li.ver-CS 1.6.id-.fname-README.txt.cs16
2019-09-08 15:56 - 2019-09-08 20:35 - 000000082 _____ C:\Users\Public\Documents\README.txt
2019-09-08 15:56 - 2019-09-08 20:35 - 000000082 _____ C:\Users\Public\Desktop\README.txt
2019-09-08 15:56 - 2019-09-08 16:00 - 000000796 _____ C:\Users\Все пользователи\email-mryoba@cock.li.ver-CS 1.6.id-.fname-README.txt.cs16
2019-09-08 15:56 - 2019-09-08 16:00 - 000000796 _____ C:\ProgramData\email-mryoba@cock.li.ver-CS 1.6.id-.fname-README.txt.cs16
2019-09-08 15:56 - 2019-09-08 15:56 - 000000082 _____ C:\Program Files (x86)\README.txt
2019-09-08 15:31 - 2019-09-08 15:31 - 000000082 _____ C:\Program Files\README.txt
2019-09-08 15:28 - 2019-09-08 15:28 - 000000082 _____ C:\Program Files\Common Files\README.txt
2019-09-08 15:21 - 2019-09-08 20:35 - 000000796 _____ C:\Users\email-mryoba@cock.li.ver-CS 1.6.id-.fname-README.txt.cs16
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Пришлите с данной машины другие шифрованные файлы без оригиналов.
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

a_haliulin
  • Закрыта
Закрыто Подхватили шифровальщик mr.yoba@aol.com
Ответы
5
Просмотры
2K
akok
akok
A
Решена с расшифровкой. Шифровальщик fairexchange@qq.com
Ответы
2
Просмотры
81
arsenv
A
K
Решена с расшифровкой. Шифровальщик crylock 2 [honestandhope@qq.com]
Ответы
7
Просмотры
487
Sandor
Sandor
Назад
Сверху Снизу