• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Поймал Трояна-шифровальщика

Статус
В этой теме нельзя размещать новые ответы.

chingiz

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
Нужна помощь. Случайно запустил с почты Трояна. Оказались зашифрованы все рабочие файлы, очень важные документы.
На жестких дисках появилось текстовое сообщение
README1 (прилагается)
Позднее получил инструкции сколько биткоинов нужно оплатить, что бы получить код и приложение для расшифровки (прилагается).
Мною были сделаны попытки остановить процесс в т.ч. очистка компьютера антивирусами в частности Dr.Web curit. Как сейчас выяснилось зря.
Помогите пожалуйста.... Логи собрал...
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,469
Реакции
1,847
Баллы
563
Здравствуйте!

Это Shade, к сожалению, расшифровки нет.
Если нужна помощь в очистке следов, дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

chingiz

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
Спасибо а быстрый ответ. Очень печально, что расшифровать невозможно. Неужели нужно платить вымогателям?
Может подскажете из опыта есть ли смысл обращаться в правоохранительные органы? Вчера уже на личную почту пришло похожее письмо с аналогичным архивом как в тот раз, когда на рабочий Email пришло письмо с заказом о сотрудничестве.
Файлы проверки прилагаю.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,469
Реакции
1,847
Баллы
563
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Служба автоматического обновления программ
Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1489947668-1260027559-2308567113-1000\...\Run: [MailRuUpdater] => C:\Users\NeW\AppData\Local\Mail.Ru\MailRuUpdater.exe [3532472 2019-03-14] (LLC Mail.Ru -> Mail.Ru) <==== ATTENTION
    HKU\S-1-5-21-1489947668-1260027559-2308567113-1000\...\Run: [mrupdsrv] => C:\Users\NeW\AppData\Local\Mail.Ru\Update Service\mrupdsrv.exe [1314008 2017-08-11] (LLC Mail.Ru -> Mail.Ru)
    HKU\S-1-5-21-1489947668-1260027559-2308567113-1000\...\MountPoints2: {cb6a8aeb-6898-11e8-b569-0cb0c88f1300} - F:\AutoRun.exe
    HKU\S-1-5-21-1489947668-1260027559-2308567113-1000\...\MountPoints2: {f3a945f2-837e-11e8-ba8c-0cb0c88f1300} - F:\AutoRun.exe
    HKU\S-1-5-21-1489947668-1260027559-2308567113-1000\...\MountPoints2: {f3a94625-837e-11e8-ba8c-0cb0c88f1300} - F:\AutoRun.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Task: {4B7B5A08-193F-4BA1-BD2F-A766900035BB} - System32\Tasks\MailRuUpdater => C:\Users\NeW\AppData\Local\Mail.Ru\MailRuUpdater.exe [3532472 2019-03-14] (LLC Mail.Ru -> Mail.Ru) <==== ATTENTION
    BHO: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\NeW\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2015-11-28] (LLC Mail.Ru -> Mail.Ru)
    CHR NewTab: Default ->  Active:"chrome-extension://bpgangmffjcofiknibcmfjionicohfgj/visual-bookmarks.html"
    CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BB14867B3-7409-44FF-86C8-A446AC9D3F6D%7D&gp=820333
    CHR DefaultSearchKeyword: Default -> mail.ru_
    CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
    C:\Users\NeW\AppData\Local\Google\Chrome\User Data\Default\Extensions\nbifdkmdojgmpmopdebnjcobekgdoncn
    CHR HKLM\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
    2019-06-17 10:16 - 2019-06-17 10:16 - 000000000 __SHD C:\ProgramData\System32
    2019-06-17 10:04 - 2019-06-17 12:42 - 000000000 __SHD C:\ProgramData\Windows
    AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [254]
    AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [290]
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Неужели нужно платить вымогателям?
1. Гарантии расшифровки нет.
2. Вы их стимулируете к дальнейшим выходкам.

есть ли смысл обращаться в правоохранительные органы?
Есть. Известны случаи поимки злодеев, после чего ключи выдаются бесплатно. Жаль этих случаев крайне мало.
Ознакомьтесь со статьей.
 

chingiz

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
Скажите остались ли еще следы от вируса?
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,469
Реакции
1,847
Баллы
563
Судя по представленным логам, нет.

Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,469
Реакции
1,847
Баллы
563
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17801 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2017-06-01 14:24:38
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4503292 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
K-Lite Codec Pack 14.4.5 Standard v.14.4.5 Внимание! Скачать обновления
Microsoft .NET Framework 4.6.2 v.4.6.01590 Внимание! Скачать обновления
Microsoft Office - стандартный выпуск версии 2003 v.11.0.5614.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Shockwave Player + Authorware Web Player v.v12.1.4.154 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader 9 - Russian v.9.0.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.74.0.3729.169 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Служба автоматического обновления программ Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Хот-фиксы установите обязательно. Остальное по возможности крайне желательно исправить/обновить.

Читайте Рекомендации после удаления вредоносного ПО
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу