• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Помогите расшифровать файлы

Статус
В этой теме нельзя размещать новые ответы.

andru24

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Доброго дня, 11 июля произошло шифрование расшаренных папок на 1 пк из 130 ... остальные не зацепило,
что на пк делалось до обращения увы... не в курсе. помогите пожалуйста, может можно расшифровать, документы техпроцесса, у них даже бекапов нет......
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,784
Реакции
13,524
Баллы
2,203
Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 64 кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.
 

akok

Команда форума
Администратор
Сообщения
17,784
Реакции
13,524
Баллы
2,203
В общем ищите сервер с которого пошла зараза, его тоже зашифровало. Он должен быть доступен по RDP и иметь доступ (шару) на этой машине.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Users\орловский сергей\AppData\Local\SmartWeb\SmartWebHelper.exe;
    HKU\S-1-5-21-1201507325-502062010-2548123970-1000\...\MountPoints2: {e0005b15-1159-11e3-b197-806e6f6e6963} - E:\AUTORUN.EXE
    Task: {50F6164B-D957-463A-AFD3-36E2EBFD4D52} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\орловский сергей\AppData\Local\SmartWeb\SmartWebHelper.exe 
    C:\Users\орловский сергей\AppData\Local\SmartWeb\SmartWebHelper.exe 
    2019-07-11 03:27 - 2019-07-11 03:51 - 000000069 _____ C:\Users\Public\README.txt
    2019-07-11 03:27 - 2019-07-11 03:51 - 000000069 _____ C:\Users\Public\Downloads\README.txt
    2019-07-11 03:27 - 2019-07-11 03:51 - 000000069 _____ C:\Users\Public\Documents\README.txt
    FirewallRules: [TCP Query User{9A6B1EDB-748D-4865-BA81-FB8C4B15AC22}C:\program files (x86)\skype\phone\skype.exe] => (Allow) C:\program files (x86)\skype\phone\skype.exe No File
    FirewallRules: [UDP Query User{A87BA7DD-6F53-4ED8-BD67-FBC2BF80C715}C:\program files (x86)\skype\phone\skype.exe] => (Allow) C:\program files (x86)\skype\phone\skype.exe No File
    FirewallRules: [TCP Query User{F73DC7A4-F1AC-46FD-9F1D-65A35A44151D}C:\users\орловский сергей\appdata\roaming\dropbox\bin\dropbox.exe] => (Allow) C:\users\орловский сергей\appdata\roaming\dropbox\bin\dropbox.exe No File
    FirewallRules: [UDP Query User{BA1718F0-7A7A-492C-8CD1-5558B1E99C87}C:\users\орловский сергей\appdata\roaming\dropbox\bin\dropbox.exe] => (Allow) C:\users\орловский сергей\appdata\roaming\dropbox\bin\dropbox.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

andru24

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
пара TXT и ворд, надеюсь это то
 

Вложения

  • 31.4 KB Просмотры: 2

andru24

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
ух ты как то я не обратил внимания, сервер в сети 1 по рдп, на нем домен, этот пк не в домене, на сервере в шаре шифрования нет... но буду искать и его.
 

andru24

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
так вроде нашел... но не уверен что файл зашифрованный бы не измен
 

Вложения

  • 36 KB Просмотры: 1

akok

Команда форума
Администратор
Сообщения
17,784
Реакции
13,524
Баллы
2,203
Маленькие файлы.... маленькие. Ищите любую пару больше 100 кб
 

andru24

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Блин я ищу файлы по 64 а надо не менее?!
 

andru24

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Вот держите только там PDF не знаю подойдет ли
и такой вопрос чем можно еще самому попытаться подобрать ключ?
 

Вложения

  • 521.2 KB Просмотры: 1

akok

Команда форума
Администратор
Сообщения
17,784
Реакции
13,524
Баллы
2,203
Теперь отлично, пара подошла и ключ определился. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет. Результат сообщите здесь, пожалуйста.
 

andru24

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
увы лицензий нет =(
 

andru24

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Заставил купить лицензию, 50% расшифровали, на остальное
надо искать еще одну пару, ..... и кажется я нашел причину как оно попало. Но смогу узнать только в понедельник
Спасибо вам большое за помощь
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,784
Реакции
13,524
Баллы
2,203
Да, ключей может быть несколько. Каждый запуск шифровальщика создает новый ключ.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу