• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. помогите email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-про.kmz.doubleoffset

Статус
В этой теме нельзя размещать новые ответы.

adastmin

Новый пользователь
Сообщения
9
Реакции
1
Баллы
3
Вот файлы логи и нескоглько файлов собранные на серваке
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,671
Реакции
13,478
Баллы
2,203
Смените все пароли, у вас работает Backdoor + trojan-spy с 21.06

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('WindowsCertificateService', 4);
 SetServiceStart('WinMediaService', 4);
 StopService('WindowsCertificateService');
 StopService('WinMediaService');
 QuarantineFile('C:\Users\sysadmin\Pictures\PC_H64as.sys', '');
 QuarantineFile('c:\windows\media\long\certsvc.exe', '');
 QuarantineFile('C:\Windows\msapss\bin\msapp.exe', '');
 DeleteFile('c:\windows\media\long\certsvc.exe', '32');
 DeleteFile('C:\Windows\msapss\bin\msapp.exe', '32');
 DeleteService('WindowsCertificateService');
 DeleteService('WinMediaService');
BC_ImportALL;
 ExecuteRepair(9);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.


1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
 

adastmin

Новый пользователь
Сообщения
9
Реакции
1
Баллы
3
имя карантина 2019.06.26_quarantine_a15f1f65eb6b0a4df71f74ac743a9057.zip пароль malware
 
Последнее редактирование:
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
17,671
Реакции
13,478
Баллы
2,203
А вот теперь нужны свежие логи FRST. Прикрепите их, пожалуйста.

+++

Найдите пару файлов: зашифрованный и его оригинальную копию. Прикрепите их к в теме (в архиве).
 

akok

Команда форума
Администратор
Сообщения
17,671
Реакции
13,478
Баллы
2,203
Тогда ждем логи FRST
 

adastmin

Новый пользователь
Сообщения
9
Реакции
1
Баллы
3
Логи FRST пришлю завтра утром. Офис закрылся. Что скажите по поводу расшифровки или ключа?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,403
Реакции
1,839
Баллы
563
После очистки следов вымогателя в системе получите инструкции. Дешифрует успешно.
 

adastmin

Новый пользователь
Сообщения
9
Реакции
1
Баллы
3
Вот ребята. лог после очистки. Самое главное расшифровка файлов. это кстати 1 сервак, скажите еще зашифровано штук 20 надо со всех логи потом или как? Мне надо сегодня дешифровать хоть сервак 1с с которого я логи скидывал в теме, зп надо бухгалтерии платить работникам, ибо с 21.06 все шифровано.
 

Вложения

  • 15.5 KB Просмотры: 1
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,671
Реакции
13,478
Баллы
2,203
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\README.txt
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\README.txt
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\Downloads\README.txt
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\Documents\README.txt
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\Desktop\README.txt
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\AppData\Roaming\README.txt
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\AppData\README.txt
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\AppData\LocalLow\README.txt
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\Downloads\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\Documents\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\Desktop\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\AppData\Roaming\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\AppData\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\AppData\LocalLow\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\_admin\AppData\Local\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\_admin\AppData\Local\Apps\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\sysadmin\AppData\Local\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Public\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Public\Downloads\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\Downloads\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\Documents\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\Desktop\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\AppData\Roaming\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\AppData\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\AppData\LocalLow\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\AppData\Local\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\Downloads\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\Documents\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\Desktop\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\AppData\Roaming\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\AppData\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\AppData\LocalLow\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\AppData\Local\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\Downloads\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\Documents\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\Desktop\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\AppData\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\AppData\Local\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\Documents\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\AppData\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\credo\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\credo\Downloads\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\credo\Documents\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\credo\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-22 00:11 - 2019-06-22 00:11 - 000000056 _____ C:\Users\credo\Desktop\README.txt
    2019-06-22 00:11 - 2019-06-22 00:11 - 000000056 _____ C:\Users\credo\AppData\Roaming\README.txt
    2019-06-22 00:11 - 2019-06-22 00:11 - 000000056 _____ C:\Users\credo\AppData\README.txt
    2019-06-22 00:10 - 2019-06-22 00:10 - 000000056 _____ C:\Users\credo\AppData\LocalLow\README.txt
    2019-06-22 00:04 - 2019-06-22 00:04 - 000000056 _____ C:\Users\credo\AppData\Local\README.txt
    2019-06-22 00:02 - 2019-06-22 00:02 - 000000056 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-06-21 23:59 - 2019-06-22 00:15 - 000001253 _____ C:\Users\Все пользователи\README.txt
    2019-06-21 23:59 - 2019-06-22 00:15 - 000001253 _____ C:\ProgramData\README.txt
    2019-06-21 23:59 - 2019-06-22 00:13 - 000001253 _____ C:\Users\Public\Documents\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-21 23:59 - 2019-06-22 00:13 - 000001253 _____ C:\Users\Public\Desktop\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-21 23:59 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Public\Documents\README.txt
    2019-06-21 23:59 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Public\Desktop\README.txt
    2019-06-21 23:59 - 2019-06-22 00:04 - 000001253 _____ C:\Users\Все пользователи\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-21 23:59 - 2019-06-22 00:04 - 000001253 _____ C:\ProgramData\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-21 23:59 - 2019-06-21 23:59 - 000000056 _____ C:\Program Files (x86)\README.txt
    2019-06-21 23:55 - 2019-06-21 23:55 - 000000056 _____ C:\Program Files\README.txt
    2019-06-21 23:47 - 2019-06-22 00:14 - 000000000 ____D C:\Users\sysadmin\Downloads\opera autoupdate
    2019-06-21 23:47 - 2019-06-21 23:47 - 000000056 _____ C:\Program Files\Common Files\README.txt
    2019-06-21 23:46 - 2019-06-22 00:13 - 000001253 _____ C:\Users\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-21 23:55 - 2019-06-21 23:55 - 000000056 _____ () C:\Program Files\README.txt
    2019-06-21 23:59 - 2019-06-21 23:59 - 000000056 _____ () C:\Program Files (x86)\README.txt
    2019-06-21 23:47 - 2019-06-21 23:47 - 000000056 _____ () C:\Program Files\Common Files\README.txt
    2019-06-21 23:57 - 2019-06-21 23:57 - 000000056 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ () C:\Users\sysadmin\AppData\Roaming\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ () C:\Users\sysadmin\AppData\Roaming\Microsoft\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ () C:\Users\sysadmin\AppData\Local\README.txt
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,671
Реакции
13,478
Баллы
2,203
Проверьте ЛС
 

adastmin

Новый пользователь
Сообщения
9
Реакции
1
Баллы
3
расшифровка не помогла. куда прислать скриншот?
 

akok

Команда форума
Администратор
Сообщения
17,671
Реакции
13,478
Баллы
2,203
Большие файлы? Ответьте на сообщение в ЛС
 

adastmin

Новый пользователь
Сообщения
9
Реакции
1
Баллы
3
Ответил в лс, прикрепил файлы
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу