• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Помогите опознать шифровальщик (.saved)

NRFT

Новый пользователь
Сообщения
5
Реакции
0
Добрый день!
Поймали шифратор.
Окно входа в Windows имеет вид как на скриншоте.
Зашифровано почти все. В каждом каталоге лежит пустой файл инструкция (прикладываю).
Помогите, пожалуйста, определить шифратор и есть ли лечение.
 

Вложения

  • FRST.txt
    73.9 KB · Просмотры: 4
  • Addition.txt
    45.2 KB · Просмотры: 2
  • Зашифрованные файлы.zip
    123.8 KB · Просмотры: 3
  • IMG_5009.jpg
    IMG_5009.jpg
    46.5 KB · Просмотры: 30

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
Опознать вымогателя не удалось. Для ускорения процесса, обратитесь в любую удобную (где есть лицензия) антивирусную лабораторию. Выяснили как "захватили" компьютер?

Если политики создавали сами, то скрипт не выполняйте, а напишите в теме, поправлю.

Fuji (S-1-5-21-3133673536-3620300780-3901255294-1000 - Administrator - Enabled) => C:\Users\Fuji -пользователь знаком?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Судя по логам зловред после шифрования удалился.
 

NRFT

Новый пользователь
Сообщения
5
Реакции
0
Антивируса не было. Защитник windows отключен и не включается - заблокирован групповой политикой (отключен не мной).
Fuji это мой пользователь.
Думаю проникли через RDP, хотя он был на не стандартном порту.
Политики я не создавал.
Скрипт выполнил, после перезагрузки сначала появилось тоже самое сообщение от вымогателей, при нажатии ОК сообщение о неверном пароле (старый пароль я сменил сразу), по новому паролю произвел вход.
 

Вложения

  • Fixlog.txt
    1.9 KB · Просмотры: 2

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
Политики насчет защитника и диспетчера задач я сбросил. По поводу сообщения при входе

Win + R =>набрать secpol.msc и нажать ОК=> в открывшимся окне выбрать Локальные политики => Параметры безопасности:

Нужно будет найти два пункта:
  1. Интерактивный вход в систему: Заголовок сообщения для пользователей при входе в систему
  2. Интерактивный вход: текст сообщения для пользователей при входе в систему
Очистите сообщение которое оставили преступники.
 

NRFT

Новый пользователь
Сообщения
5
Реакции
0

Здесь нашел информацию что это может быть scarab. У одной из версий совпадает расширение и названия записки
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
Мало вводных, тем более содержимого записки не создалось. А теперешних реалиях, расширение и название записки может встречаться у других шифровальщиках.
 

NRFT

Новый пользователь
Сообщения
5
Реакции
0
Забыл написать чем кончилась история: Доктор Веб все успешно расшифровали.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
Вот и отлично, как они назвали шифровальщик?
 
Сверху Снизу