-
Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Решена без расшифровки Помогите опознать шифровальщик (.saved) [securityagent@techmail.info]
- Автор темы NRFT
- Дата начала
- Статус
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Опознать вымогателя не удалось. Для ускорения процесса, обратитесь в любую удобную (где есть лицензия) антивирусную лабораторию. Выяснили как "захватили" компьютер?
Если политики создавали сами, то скрипт не выполняйте, а напишите в теме, поправлю.
Fuji (S-1-5-21-3133673536-3620300780-3901255294-1000 - Administrator - Enabled) => C:\Users\Fuji -пользователь знаком?
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
Судя по логам зловред после шифрования удалился.
Если политики создавали сами, то скрипт не выполняйте, а напишите в теме, поправлю.
Fuji (S-1-5-21-3133673536-3620300780-3901255294-1000 - Administrator - Enabled) => C:\Users\Fuji -пользователь знаком?
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Судя по логам зловред после шифрования удалился.
Антивируса не было. Защитник windows отключен и не включается - заблокирован групповой политикой (отключен не мной).
Fuji это мой пользователь.
Думаю проникли через RDP, хотя он был на не стандартном порту.
Политики я не создавал.
Скрипт выполнил, после перезагрузки сначала появилось тоже самое сообщение от вымогателей, при нажатии ОК сообщение о неверном пароле (старый пароль я сменил сразу), по новому паролю произвел вход.
Fuji это мой пользователь.
Думаю проникли через RDP, хотя он был на не стандартном порту.
Политики я не создавал.
Скрипт выполнил, после перезагрузки сначала появилось тоже самое сообщение от вымогателей, при нажатии ОК сообщение о неверном пароле (старый пароль я сменил сразу), по новому паролю произвел вход.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Политики насчет защитника и диспетчера задач я сбросил. По поводу сообщения при входе
Win + R =>набрать secpol.msc и нажать ОК=> в открывшимся окне выбрать Локальные политики => Параметры безопасности:
Нужно будет найти два пункта:
Win + R =>набрать secpol.msc и нажать ОК=> в открывшимся окне выбрать Локальные политики => Параметры безопасности:
Нужно будет найти два пункта:
- Интерактивный вход в систему: Заголовок сообщения для пользователей при входе в систему
- Интерактивный вход: текст сообщения для пользователей при входе в систему
Scarab 2020-2022
Scarab 2020-2022 Ransomware. Сборник разных случаев. Расшифровка и восстановление файлов. Обновления и обнаруженные случаи.
id-ransomware.blogspot.com
Здесь нашел информацию что это может быть scarab. У одной из версий совпадает расширение и названия записки
- Сообщения
- 3,885
- Реакции
- 2,432
Если бы это было так, то его можно было опознать по внутреннему содержимому зашифрованного файла.
- Статус
Похожие темы
Решена без расшифровки
помогите пожалуйста в расшифровке от Elpaco team
