• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. поймал шифровальщик Trojan.Encoder.567

Статус
В этой теме нельзя размещать новые ответы.

siramax

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Приветствую господа!


В общем утром зашел, а там сюрприз

Во вложениях логи, файлы зараженный и нет и папка с самим шифровальщиком

Можно ли расшифровать?
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,497
Реакции
1,849
Баллы
563
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\taskger.exe', '');
 QuarantineFile('C:\RECYCLER\1.exe', '');
 QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
 QuarantineFile('C:\Windows\SysWOW64\server.exe', '');
 DeleteFile('C:\ProgramData\taskger.exe', '32');
 DeleteFile('C:\ProgramData\taskger.exe', '64');
 DeleteFile('C:\RECYCLER\1.exe', '64');
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '64');
 DeleteFile('C:\Windows\SysWOW64\server.exe', '64');
 DeleteService('mssecsvc2.0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Aut2', 'command', '64');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'admin', 'x64');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'MinerService', '32');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'MinerService', '64');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'MinerService', 'x64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run', 'admin', 'x64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run', 'MinerService', 'x64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Aut2', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Aut3', '64');
ExecuteSysClean;
 ExecuteRepair(9);
end.
Пожалуйста, перезагрузите компьютер вручную.


После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,497
Реакции
1,849
Баллы
563
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,838
Реакции
13,534
Баллы
2,203
Инструкции по расшифровке будут после чистки системы
 

siramax

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
сделано
akok, что почистить ?
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,838
Реакции
13,534
Баллы
2,203
Судя по скриптам выше, у вас еще майнер живет. Некоторые преступники оставляют в нагрузку к шифровальщику.
 

siramax

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
все что нашел касперский Small office - удалил

свежий лог во вложении

жив еще майнер и каковы дальнейшие действия?
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,838
Реакции
13,534
Баллы
2,203
Лог автолера выше это от этой же машины?
Сами настраивали?
HKLM Group Policy restriction on software: C:\PROGRAM FILES\ESET\ESET ENDPOINT ANTIVIRUS\X86\EKRN.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\PROGRAM FILES\ESET\ESET ENDPOINT ANTIVIRUS\EGUI.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\PROGRAM FILES\ESET\ESET ENDPOINT ANTIVIRUS\EGUI.EXE <==== ATTENTION
Знакомо?
C:\ProgramData\National\loader_xmr.exe

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Task: {62BE16F6-B0CC-4DEA-92C5-E8051E37AF10} - \45645 -> No File <==== ATTENTION
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\Downloads\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\Documents\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\Desktop\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\AppData\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\Users\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ C:\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Администратор\AppData\Local\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Public\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Public\Downloads\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\Downloads\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\Documents\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\Desktop\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\AppData\Roaming\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\AppData\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\AppData\LocalLow\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\nitehost\AppData\Local\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\Downloads\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\Documents\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\Desktop\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\AppData\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default\AppData\Local\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\Documents\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\AppData\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\Downloads\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\Documents\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\Desktop\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\AppData\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\AppData\LocalLow\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Classic .NET AppPool\AppData\Local\README.txt
    2019-06-25 03:06 - 2019-06-25 03:06 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 03:04 - 2019-06-25 03:12 - 000001259 _____ C:\Users\Все пользователи\README.txt
    2019-06-25 03:04 - 2019-06-25 03:12 - 000001259 _____ C:\ProgramData\README.txt
    2019-06-25 03:04 - 2019-06-25 03:07 - 000001259 _____ C:\Users\Все пользователи\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 03:04 - 2019-06-25 03:07 - 000001259 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 03:04 - 2019-06-25 03:07 - 000001259 _____ C:\Users\Public\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 03:04 - 2019-06-25 03:07 - 000001259 _____ C:\ProgramData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 03:04 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Public\Documents\README.txt
    2019-06-25 03:04 - 2019-06-25 03:07 - 000000061 _____ C:\Users\Public\Desktop\README.txt
    2019-06-25 03:04 - 2019-06-25 03:04 - 000000061 _____ C:\Program Files (x86)\README.txt
    2019-06-25 03:02 - 2019-06-25 03:02 - 000000061 _____ C:\Program Files\README.txt
    2019-06-25 03:01 - 2019-06-25 03:07 - 000001259 _____ C:\Users\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 03:01 - 2019-06-25 03:01 - 000000061 _____ C:\Program Files\Common Files\README.txt
    2019-06-25 02:59 - 2019-06-25 03:12 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Process Hacker 2
    2019-06-25 03:02 - 2019-06-25 03:02 - 000000061 _____ () C:\Program Files\README.txt
    2019-06-25 03:04 - 2019-06-25 03:04 - 000000061 _____ () C:\Program Files (x86)\README.txt
    2019-06-25 03:01 - 2019-06-25 03:01 - 000000061 _____ () C:\Program Files\Common Files\README.txt
    2019-06-25 03:02 - 2019-06-25 03:02 - 000000061 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ () C:\Users\Администратор\AppData\Roaming\README.txt
    2019-06-25 03:12 - 2019-06-25 03:12 - 000000061 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\README.txt
    2019-06-25 03:07 - 2019-06-25 03:07 - 000000061 _____ () C:\Users\Администратор\AppData\Local\README.txt
    FirewallRules: [{4D867255-3F38-4DF3-8F46-3D12F1E5A59E}] => (Allow) D:\3proxy\bin\3proxy.exe No File
    FirewallRules: [{2DC2DAD4-F422-4879-B34D-6DCFACD5C596}] => (Allow) D:\3proxy\bin\3proxy.exe No File
    FirewallRules: [{37D45113-46AC-4C62-8EEC-848B18B905FB}] => (Allow) D:\3proxy\bin\3proxy.exe No File
    FirewallRules: [{55583F24-E2F4-4570-B86F-1EF19E718D15}] => (Allow) D:\3proxy\bin\3proxy.exe No File
    FirewallRules: [{28BAEC28-5809-41A4-A8CA-9CCF4F20A2AA}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
    FirewallRules: [{CB3385A7-AFD1-45D0-A001-0383CFDFB6F2}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
    FirewallRules: [{C14C7972-6614-4401-AD0D-DA01ED27661D}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{FD0BC153-21EF-49C5-BA2C-BC307C03A8FA}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

siramax

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
реестр вроде про nod32 (стоял когда то)

в ProgramData не знакома папочка

лог во вложении
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,838
Реакции
13,534
Баллы
2,203
Проверьте ЛС
 

siramax

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
отписываюсь:

дешифратор помог на ~80%
расшифровалось практически все кроме больших (>2Гб) файлов баз данных (самое главное бэкапы расшифровались отлично), службы MS SQL отказались запускаться и восстанавливаться (ссылаясь на проблемы безопасности), ну а другое не сильно проверял так как некритично.
касперский тоже прислал дешифратор, но почти через 1,5 суток после обращения, для некоторых это может быть критично

Парни Вам огромное спасибо за решение проблемы и оперативность (спасибка прилетит обязательно)!
 

akok

Команда форума
Администратор
Сообщения
17,838
Реакции
13,534
Баллы
2,203
По большим файлам известная проблема, разработчик обещал исправить.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу