• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Поймали шифровальщика [mr.yoba@aol.com].yoba

fak1r

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Добрый день!

Прошу помощи в расшифровке файлов.

Сотрудник подцепил заразу. Предположительно в почте.
Файлы сотрудника зашифровало и появилось расширение [mr.yoba@aol.com].yoba.
Так же прошлось по общей папке, там файлы переименованы в email-mr.yoba@aol.com.ver-CS 1.6.id-.fname-Thumbs.db.cs16.
Общую папку уже восстановил из бэкапа, а вот копий компа сотрудника нету(((.

В приложении на всякий случай прикрепил файлы из общей папки, хотя их расшифровка значения не имеет.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,575
Реакции
13,424
Баллы
2,203
Для [mr.yoba@aol.com].yoba. расшифровки нет, только чистка мусора
Сотрудник подцепил заразу. Предположительно в почте.
Сомнительно, обычно входят через RDP (слабые пароли или уязвимость). Учтите брутят по стандартным именам администраторов (администратор и его производные)
1.6.id-.fname-Thumbs.db.cs16.
Для этой версии есть расшифровка у касперских.

DameWare Mini Remote Control - ваше?

Политики сами настраивали?
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%Temp <==== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\DefaultSpoolDirectory% <==== ATTENTION
HKLM\...\Policies\Explorer: [NoWelcomeScreen] 1
HKLM\...\Policies\Explorer: [NoWebServices] 1
HKLM\...\Policies\Explorer: [NoOnlinePrintsWizard] 1
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
CHR HKU\S-1-5-21-2198756649-380176202-897630393-1670\SOFTWARE\Policies\Google: Restriction <==== ATTENTION


  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-08-09 18:40 - 2019-08-09 18:40 - 000000438 _____ C:\Users\Public\Downloads\!=How_recovery_files=!.txt
    2019-08-09 18:40 - 2019-08-09 18:40 - 000000438 _____ C:\Users\Public\Documents\!=How_recovery_files=!.txt
    2019-08-09 18:40 - 2019-08-09 18:40 - 000000438 _____ C:\Users\Public\!=How_recovery_files=!.txt
    2019-08-09 18:40 - 2019-08-09 18:40 - 000000438 _____ C:\Users\parts\Downloads\!=How_recovery_files=!.txt
    2019-08-09 18:40 - 2019-08-09 18:40 - 000000438 _____ C:\Users\parts\Documents\!=How_recovery_files=!.txt
    2019-08-09 18:40 - 2019-08-09 18:40 - 000000438 _____ C:\Users\parts\!=How_recovery_files=!.txt
    2019-08-09 18:30 - 2019-08-09 18:30 - 000000438 _____ C:\Users\parts\AppData\Roaming\!=How_recovery_files=!.txt
    2019-08-09 18:30 - 2019-08-09 18:30 - 000000438 _____ C:\Users\parts\AppData\!=How_recovery_files=!.txt
    2019-08-09 18:16 - 2019-08-09 18:16 - 000000438 _____ C:\Users\parts\AppData\LocalLow\!=How_recovery_files=!.txt
    2019-08-09 18:16 - 2019-08-09 18:16 - 000000438 _____ C:\Users\parts\AppData\Local\!=How_recovery_files=!.txt
    2019-08-09 18:09 - 2019-08-09 18:41 - 000000438 _____ C:\Users\Все пользователи\!=How_recovery_files=!.txt
    2019-08-09 18:09 - 2019-08-09 18:41 - 000000438 _____ C:\ProgramData\!=How_recovery_files=!.txt
    2019-08-09 01:19 - 2019-08-09 01:19 - 000000000 ____H C:\Users\parts\Documents\Default.rdp
    2019-08-09 01:18 - 2019-08-09 18:30 - 000000000 ____D C:\Users\parts\Desktop\444
    ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
    ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
    ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
    ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
    ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

fak1r

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
> DameWare Mini Remote Control - ваше?

Да, мое.

> Политики сами настраивали?

То же наши
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,718
Реакции
2,533
Баллы
593
Результат выполнения скрипта где?
 

akok

Команда форума
Администратор
Сообщения
17,575
Реакции
13,424
Баллы
2,203
Подготовьте лог SecurityCheck by glax24

Для правильного удаления Farbar Recovery Scan Tool переименуйте исполняемый файл FRST64.exe (или FRST.exe) в Uninstall.exe. Запустите файл Uninstall.exe. Появится уведомление о необходимости перезагрузить систему для окончательного удаления Farbar Recovery Scan Tool.
 

akok

Команда форума
Администратор
Сообщения
17,575
Реакции
13,424
Баллы
2,203
Кстати источник заражения скорее всего вот

 

fak1r

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 15.08.2019 14:10:54
Path starting: C:\Users\Администратор\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Администратор
VersionXML: 6.68is-12.08.2019
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Professional Lang: Russian(0419)
Дата установки ОС: 13.09.2016 11:12:33
Статус лицензии: Windows(R) 7, Professional edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [150.9 Гб] Занято: [63.5 Гб] Свободно: [87.4 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.19431 [+]
Контроль учётных записей пользователя включен (Уровень 3)
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2019-08-14 14:34:23
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба работает
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Endpoint Security для Windows (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Endpoint Security для Windows (отключен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Endpoint Security для Windows (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Агент администрирования Kaspersky Security Center 10 v.10.5.1781
Kaspersky Endpoint Security для Windows v.11.0.1.90 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.2 v.4.7.03062
K-Lite Codec Pack 13.5.0 Standard v.13.5.0 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
7-Zip 17.01 beta (x64) v.17.01 beta Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
7-Zip 19.00 (x64 edition) v.19.00.00.0
--------------------------------- [ IM ] ----------------------------------
Viber v.10.7.0.16 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ SPY ] ---------------------------------
UltraVnc v.1.2.24 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 144 (64-bit) v.8.0.1440.1 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u221-windows-x64.exe)^
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.7.5.9 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.192 Внимание! Скачать обновления
Adobe Acrobat Reader DC - Russian v.19.012.20036 [+]
------------------------------- [ Browser ] -------------------------------
Google Chrome v.76.0.3809.100
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Endpoint Security Service (AVP) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows\avp.exe v.11.0.1.90
C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\vapm.exe v.10.5.1781.0
Защитник Windows (WinDefend) - Служба остановлена
Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------

UltraVNC - сам ставил.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,575
Реакции
13,424
Баллы
2,203
Исправьте найденное, на этом все, чем можем помочь.
 

fak1r

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
А можно ли как нить получить тело вируса? На форуме вроде есть темы про подобного шифровальщика.
А то я обратился в ТП Касперсокого, они сказали что нужна сама вирусня, а с компа не получается его вытащить.
 

akok

Команда форума
Администратор
Сообщения
17,575
Реакции
13,424
Баллы
2,203
После шифрования тело удаляется автоматом.
 
Сверху Снизу