• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Поймали шифровальщик через почту

Teo

Новый пользователь
Сообщения
3
Реакции
0
Добрый день.
Сотрудник словил 02.08 шифровальщик (mr.yoba@aol.com 1.3.1.0 F810-A87D), вирус отработал на славу и в течении ночи убил все файлы на локальной машине. Антивирус сработал, обнаружил что-то, но не защитил по итогу.
В архиве Virus, возможно, тело вируса. Т.к. обнаружили поздно, может быть это не совсем то (вирус себя удалил). В архиве Original-Encrypted пара зашифрованных и пара оригинальных файлов (т.к. названия зашифрованных изменены, не удалось точно определить какой файл какому соответствует, думаю пары можно сопоставить по размеру).

С файлами попрощались заведомо, но если вдруг удастся что-то сделать, было бы здорово.
 

Вложения

  • Addition.txt
    53.2 KB · Просмотры: 3
  • Encrypted.zip
    203.8 KB · Просмотры: 2
  • FRST.txt
    127.2 KB · Просмотры: 3
  • Original-Encrypted.zip
    13 KB · Просмотры: 1
Последнее редактирование модератором:
Остатки от вируса, которые тоже закарантинились.
 
Антивирус сработал, обнаружил что-то, но не защитил по итогу.
Его просто отключили, взлом был через RDP

А более понятных пар не нашлось? (популярных форматов и большего размера). Не уверен, что эти файлы связаны с шифровальщиком. Это куски шпиона, смените пароли.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Program Files\Common Files\Common Desktop Agent\CDASrv.exe;
    HKU\S-1-5-21-4025269152-1662767985-2935216004-1000\...\MountPoints2: F - F:\run.exe
    HKU\S-1-5-21-4025269152-1662767985-2935216004-1000\...\MountPoints2: {b65246c3-2c99-11e2-a3a9-806e6f6e6963} - Q:\LenovoQDrive.exe
    Toolbar: HKU\S-1-5-21-4025269152-1662767985-2935216004-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
    2019-08-02 02:07 - 2019-08-02 02:07 - 000000067 _____ C:\Users\README.txt
    2019-08-02 02:06 - 2019-08-02 02:06 - 000000067 _____ C:\Users\Public\README.txt
    2019-08-02 02:06 - 2019-08-02 02:06 - 000000067 _____ C:\Users\Public\Downloads\README.txt
    2019-08-02 02:06 - 2019-08-02 02:06 - 000000067 _____ C:\Users\okadr014\README.txt
    2019-08-02 02:06 - 2019-08-02 02:06 - 000000067 _____ C:\Users\okadr014\Downloads\README.txt
    2019-08-02 02:06 - 2019-08-02 02:06 - 000000067 _____ C:\Users\okadr014\Documents\README.txt
    2019-08-02 02:06 - 2019-08-02 02:06 - 000000067 _____ C:\Users\okadr014\Desktop\README.txt
    2019-08-02 02:06 - 2019-08-02 02:06 - 000000067 _____ C:\Users\okadr014\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-02 02:06 - 2019-08-02 02:06 - 000000067 _____ C:\Users\okadr014\AppData\Local\README.txt
    2019-08-02 01:41 - 2019-08-02 01:41 - 000000067 _____ C:\Users\okadr014\AppData\Roaming\README.txt
    2019-08-02 01:41 - 2019-08-02 01:41 - 000000067 _____ C:\Users\Default\README.txt
    2019-08-02 01:41 - 2019-08-02 01:41 - 000000067 _____ C:\Users\Default\Downloads\README.txt
    2019-08-02 01:41 - 2019-08-02 01:41 - 000000067 _____ C:\Users\Default\Documents\README.txt
    2019-08-02 01:41 - 2019-08-02 01:41 - 000000067 _____ C:\Users\Default\Desktop\README.txt
    2019-08-02 01:41 - 2019-08-02 01:41 - 000000067 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-08-02 01:41 - 2019-08-02 01:41 - 000000067 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-02 01:41 - 2019-08-02 01:41 - 000000067 _____ C:\Users\Default\AppData\Local\README.txt
    2019-08-02 01:41 - 2019-08-02 01:41 - 000000067 _____ C:\Users\Default User\Downloads\README.txt
    2019-08-02 01:41 - 2019-08-02 01:41 - 000000067 _____ C:\Users\Default User\Documents\README.txt
    2019-08-02 01:41 - 2019-08-02 01:41 - 000000067 _____ C:\Users\Default User\Desktop\README.txt
    2019-08-02 01:41 - 2019-08-02 01:41 - 000000067 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-08-02 01:41 - 2019-08-02 01:41 - 000000067 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-02 01:41 - 2019-08-02 01:41 - 000000067 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-08-02 01:38 - 2019-08-02 02:07 - 000000067 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-08-02 01:37 - 2019-08-02 02:07 - 000000067 _____ C:\Users\Все пользователи\README.txt
    2019-08-02 01:37 - 2019-08-02 02:07 - 000000067 _____ C:\Users\Public\Documents\README.txt
    2019-08-02 01:37 - 2019-08-02 02:07 - 000000067 _____ C:\Users\Public\Desktop\README.txt
    2019-08-02 01:37 - 2019-08-02 02:07 - 000000067 _____ C:\ProgramData\README.txt
    2019-08-02 01:36 - 2019-08-02 01:36 - 000000067 _____ C:\Program Files (x86)\README.txt
    2019-08-02 01:26 - 2019-08-02 01:26 - 000000067 _____ C:\Program Files\README.txt
    2019-08-02 01:26 - 2019-08-02 01:26 - 000000067 _____ C:\Program Files\Common Files\README.txt
    2019-08-02 01:26 - 2019-08-02 01:26 - 000000067 _____ () C:\Program Files\README.txt
    2019-08-02 01:36 - 2019-08-02 01:36 - 000000067 _____ () C:\Program Files (x86)\README.txt
    2019-08-02 01:26 - 2019-08-02 01:26 - 000000067 _____ () C:\Program Files\Common Files\README.txt
    2019-08-02 01:29 - 2019-08-02 01:29 - 000000067 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-08-02 01:41 - 2019-08-02 01:41 - 000000067 _____ () C:\Users\okadr014\AppData\Roaming\README.txt
    2019-08-02 02:06 - 2019-08-02 02:06 - 000000067 _____ () C:\Users\okadr014\AppData\Local\README.txt
    FirewallRules: [{36DEEAE9-9293-4CD5-9EEC-4FEA923819D3}] => (Allow) C:\Users\okadr014\AppData\Local\Temp\InsB3F3\Setup.exe No File
    FirewallRules: [{A16C75B7-7BEF-4D8C-8C65-C755FF22A35E}] => (Allow) C:\Program Files (x86)\Lenovo\System Update\UNCServer.exe No File
    FirewallRules: [{F82EB494-A787-408E-B632-FE18DD93B83A}] => (Allow) C:\Program Files (x86)\Lenovo\System Update\UNCServer.exe No File
    FirewallRules: [{82CAB803-90A3-4B78-A165-96D8FE3FDEA0}] => (Allow) C:\Program Files (x86)\Lenovo\System Update\UNCServer.exe No File
    FirewallRules: [{0F7E72E9-6D9F-4A0A-AE90-3D79FB17DA19}] => (Allow) C:\Program Files (x86)\Lenovo\System Update\UNCServer.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:
На счёт RDP - да, вы правы... Разные админы, разные подходы к "удалёнке", а вот пароль сменили (для "удобства входа сотрудника из дома") на простой...

Приложил картинку зашифрованную и оригинал.
 

Вложения

  • File.zip
    77.1 KB · Просмотры: 2
Последнее редактирование:
С расшифровкой не получилось. К этой версии невозможно подобрать ключ.

Можно попробовать:
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет.
 
Назад
Сверху Снизу