Закрыто Помогите расшифровать tuta.io.ver-CL 1.5.1.0.id- .doubleoffset

R-TRY

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Добрый день. Вирус зашифровал файлы в папке на сетевом хранилище. Прошу помощи в расшифровке.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,295
Реакции
13,298
Баллы
2,203
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - заблокирована настройка домашней страницы

Сами настраивали?
 

akok

Команда форума
Администратор
Сообщения
17,295
Реакции
13,298
Баллы
2,203
Подберите пару файлов для анализа, зашифрованный и оригинальный.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,295
Реакции
13,298
Баллы
2,203
Отлично, тогда жду логи FRST и файлы.
 

R-TRY

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Подберите пару файлов для анализа, зашифрованный и оригинальный.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Сделал, пароль на архив - vir
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,295
Реакции
13,298
Баллы
2,203
Это логи сетевого хранилища? Файлы шифровала машина которая имела доступ к сетевому хранилищу доступ т.к. в логах не видно следов шифровальщика.
 

akok

Команда форума
Администратор
Сообщения
17,295
Реакции
13,298
Баллы
2,203
Смените пароли на RDP (для верности). Проверьте ЛС
 

R-TRY

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Это логи сетевого хранилища? Файлы шифровала машина которая имела доступ к сетевому хранилищу доступ т.к. в логах не видно следов шифровальщика.
Хранилище железкой - QNAP, возможно ломанули рабочую станцию, завтра с нее логи прикреплю. Хотя судя по временной отметке, зашифровало в субботу вечером....тогда все было выключено, кроме терминального сервера.
 

akok

Команда форума
Администратор
Сообщения
17,295
Реакции
13,298
Баллы
2,203
Обычно ломают через DRP.... слабый пароль или незакрытая уязвимость.
 

R-TRY

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Обычно ломают через DRP.... слабый пароль или незакрытая уязвимость.
Согласен. Странно что задело только одну папку, сам профиль пользователя нормальный, другие сетевые папки не задеты. Возможно антивирь все потер, хотя у него в журналах сообщения нет. Спасибо, файла расшифровываются, буду искать дыру.
 

akok

Команда форума
Администратор
Сообщения
17,295
Реакции
13,298
Баллы
2,203
Антивирус обычно отглушается при помощи Process Hacker.
 

akok

Команда форума
Администратор
Сообщения
17,295
Реакции
13,298
Баллы
2,203
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Сверху Снизу