• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Поймали шифровальщика [CS 1.7.0.1][opensafezona@cock.li]

Draxxry

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
Добрый день.
Нужна помощь в спасении данных, если это возможно.
Все файлы на компьютере зашифроваты и имеют вид filename.[CS 1.7.0.1][opensafezona@cock.li].xxx
На компьютере был открыт доступ по RDP
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Похоже это новый cryakl, для него нет расшифровки. При наличии лицензии можете обратиться в службу поддержки DrWeb или ЛК, но шансов практически нет.
На компьютере был открыт доступ по RDP => через него и вошли, меняйте пароли + скройте RDP за VPN

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-11-27 11:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\TEMP\README.txt
    2019-11-27 11:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\TEMP\Downloads\README.txt
    2019-11-27 11:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\TEMP\Documents\README.txt
    2019-11-27 11:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\TEMP\Desktop\README.txt
    2019-11-27 11:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\TEMP\AppData\Roaming\README.txt
    2019-11-27 11:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-27 11:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\TEMP\AppData\README.txt
    2019-11-27 11:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\TEMP\AppData\Local\README.txt
    2019-11-26 22:33 - 2019-11-26 22:33 - 000000066 _____ C:\Users\Администратор.GRIN-1C8.BACKUP-0\README.txt
    2019-11-26 22:33 - 2019-11-26 22:33 - 000000066 _____ C:\Users\Администратор.GRIN-1C8.BACKUP-0\Downloads\README.txt
    2019-11-26 22:33 - 2019-11-26 22:33 - 000000066 _____ C:\Users\Администратор.GRIN-1C8.BACKUP-0\Documents\README.txt
    2019-11-26 22:33 - 2019-11-26 22:33 - 000000066 _____ C:\Users\Администратор.GRIN-1C8.BACKUP-0\Desktop\README.txt
    2019-11-26 22:33 - 2019-11-26 22:33 - 000000066 _____ C:\Users\Администратор.GRIN-1C8.BACKUP-0\AppData\Roaming\README.txt
    2019-11-26 22:33 - 2019-11-26 22:33 - 000000066 _____ C:\Users\Администратор.GRIN-1C8.BACKUP-0\AppData\README.txt
    2019-11-26 22:33 - 2019-11-26 22:33 - 000000066 _____ C:\Users\Администратор.GRIN-1C8.BACKUP-0\AppData\LocalLow\README.txt
    2019-11-26 22:33 - 2019-11-26 22:33 - 000000066 _____ C:\Users\Администратор.GRIN-1C8.BACKUP-0\AppData\Local\README.txt
    2019-11-26 22:33 - 2019-11-26 22:33 - 000000066 _____ C:\Users\�������������.000\README.txt
    2019-11-26 22:33 - 2019-11-26 22:33 - 000000066 _____ C:\Users\�������������.000\AppData\README.txt
    2019-11-26 22:33 - 2019-11-26 22:33 - 000000066 _____ C:\Users\�������������.000\AppData\Local\README.txt
    2019-11-26 22:33 - 2019-11-26 22:33 - 000000066 _____ C:\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Администратор\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Администратор\Downloads\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Администратор\Documents\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Администратор\Desktop\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Администратор\AppData\Roaming\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Администратор\AppData\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Администратор\AppData\Local\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Администратор.000\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Администратор.000\AppData\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Администратор.000\AppData\Local\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Public\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Public\Downloads\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\MSSQL$MICROSOFT##WID\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\MSSQL$MICROSOFT##WID\Downloads\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\MSSQL$MICROSOFT##WID\Documents\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\MSSQL$MICROSOFT##WID\Desktop\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\LocalLow\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Local\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Default\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Default\Downloads\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Default\Documents\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Default\Desktop\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Default\AppData\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Default\AppData\Local\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Default User\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Default User\Downloads\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Default User\Documents\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Default User\Desktop\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Default User\AppData\README.txt
    2019-11-26 22:31 - 2019-11-26 22:31 - 000000066 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-11-26 22:28 - 2019-11-26 22:28 - 000000066 _____ C:\Users\buh2\README.txt
    2019-11-26 22:28 - 2019-11-26 22:28 - 000000066 _____ C:\Users\buh2\AppData\README.txt
    2019-11-26 22:28 - 2019-11-26 22:28 - 000000066 _____ C:\Users\buh2\AppData\Local\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\Admin\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\351A~1.000\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\351A~1.000\AppData\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\351A~1.000\AppData\Local\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\.NET v4.5\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\.NET v4.5\Downloads\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\.NET v4.5\Documents\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\.NET v4.5\Desktop\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\.NET v4.5\AppData\Roaming\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\.NET v4.5\AppData\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\.NET v4.5\AppData\LocalLow\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\.NET v4.5\AppData\Local\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\.NET v4.5 Classic\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\.NET v4.5 Classic\Downloads\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\.NET v4.5 Classic\Documents\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\.NET v4.5 Classic\Desktop\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\.NET v4.5 Classic\AppData\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\.NET v4.5 Classic\AppData\LocalLow\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\Users\.NET v4.5 Classic\AppData\Local\README.txt
    2019-11-26 22:27 - 2019-11-26 22:27 - 000000066 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-11-26 22:26 - 2019-11-26 22:26 - 000000066 _____ C:\Users\Все пользователи\README.txt
    2019-11-26 22:26 - 2019-11-26 22:26 - 000000066 _____ C:\Users\Все пользователи\Documents\README.txt
    2019-11-26 22:26 - 2019-11-26 22:26 - 000000066 _____ C:\Users\Public\Documents\README.txt
    2019-11-26 22:26 - 2019-11-26 22:26 - 000000066 _____ C:\ProgramData\README.txt
    2019-11-26 22:26 - 2019-11-26 22:26 - 000000066 _____ C:\ProgramData\Documents\README.txt
    2019-11-26 22:26 - 2019-11-26 22:26 - 000000066 _____ C:\Program Files (x86)\README.txt
    2019-11-26 22:21 - 2019-11-26 22:21 - 000000066 _____ C:\Program Files\README.txt
    2019-11-26 22:20 - 2019-11-26 22:20 - 000000066 _____ C:\Program Files\Common Files\README.txt
    2019-11-26 22:19 - 2019-11-26 22:19 - 000000066 _____ C:\Users\README.txt
    ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll -> No File
    ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll -> No File
    FirewallRules: [WINS-Service-In-TCP] => (Allow) %SystemRoot%\System32\wins.exe No File
    FirewallRules: [WINS-Service-Out-TCP] => (Allow) %systemroot%\System32\wins.exe No File
    FirewallRules: [WINS-Service-In-UDP] => (Allow) %SystemRoot%\System32\wins.exe No File
    FirewallRules: [WINS-Service-Out-UDP] => (Allow) %SystemRoot%\System32\wins.exe No File
    FirewallRules: [WINS-Service-In-RPC] => (Allow) %SystemRoot%\System32\wins.exe No File
    FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe No File
    FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe No File
    FirewallRules: [WindowsServerBackup-wbengine-In-TCP-NoScope] => (Allow) %systemroot%\system32\wbengine.exe No File
    FirewallRules: [Microsoft-Windows-NFS-ClientCore-NfsClnt-UDP-Out] => (Allow) %systemroot%\system32\nfsclnt.exe No File
    FirewallRules: [Microsoft-Windows-NFS-ClientCore-NfsClnt-TCP-Out] => (Allow) %systemroot%\system32\nfsclnt.exe No File
    FirewallRules: [DNSSrv-DNS-TCP-In] => (Allow) %systemroot%\System32\dns.exe No File
    FirewallRules: [DNSSrv-DNS-UDP-In] => (Allow) %systemroot%\System32\dns.exe No File
    FirewallRules: [DNSSrv-RPC-TCP-In] => (Allow) %systemroot%\System32\dns.exe No File
    FirewallRules: [DNSSrv-TCP-Out] => (Allow) %systemroot%\System32\dns.exe No File
    FirewallRules: [DNSSrv-UDP-Out] => (Allow) %systemroot%\System32\dns.exe No File
    FirewallRules: [DFSR-DFSRSvc-In-TCP] => (Allow) %SystemRoot%\system32\dfsrs.exe No File
    FirewallRules: [NTFRS-NTFRSSvc-In-TCP] => (Allow) %SystemRoot%\system32\NTFRS.exe No File
    FirewallRules: [{222237AF-DA02-44A6-8815-B3F25A554AF2}] => (Allow) C:\Program Files (x86)\HP\PowerProtector\mc2.exe No File
    FirewallRules: [{F379014F-A2BC-49D8-8039-E4597D5103BF}] => (Allow) C:\Program Files (x86)\HP\PowerProtector\mc2.exe No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

Draxxry

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
Лицензии естественно нет.
Совсем нет никаких шансов восстановить базы 1С ?
Посмотрел лог, наверное зря я выполнил FIX в безопасном режиме ?
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Ничего страшного. Восстановить базы скорее всего возможно, были прецеденты, смотрите мою подпись.
 

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
 
Сверху Снизу