• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Помогите с расшифровкой файлов

Статус
В этой теме нельзя размещать новые ответы.
A

AdmVilor

Новый пользователь
Сообщения
5
Реакции
0
Добрый день.
Помогите пожалуйста с расшифровкой файлов.
Утром вошли в учетную запись на компьютере, который был включен, так как планировали работать на нем удаленно с раннего утра.
Все файлы на дисках С и Д а так же флешка с ключами ЭЦП стали зашифрованы.
Вот такого вида:
Microsoft Edge.lnk[CS 1.7.0.1][opensafezona@protonmail.com].shv
регистр документов .docx[CS 1.7.0.1][opensafezona@protonmail.com].sjz
и так далее.
Самого вируса не обнаружили, установлен и запущен был антивирус Касперский Смол офис 7.
По времени создания зашифрованных файлов поняли что это было ночью с часу до двух ночи.
Логи и файлы прикрепляю.
Помогите пожалуйста, вся работа встала так как зашифрованными оказались файловые базы 1С7.
 

Вложения

Здравствуйте!

Это Cryakl одной из последних версий, расшифровки нет.
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку на всякий случай.

Помощь в очистке следов нужна или планируете переустановку системы?
 
Запрос создали.
Следов кроме как самих зашифрованных файлов и текстовых файлов с адресом больше вроде нет.
Систему переустанавливать не хотелось бы.
Буду признателен если подскажите что сделать дальше.
 
Пароли на RDP смените.
Программы удаленного управления TeamViewer, TightVNC и D:\AMMYY\AA_v3.5.exe - все ваши?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
CHR HKU\S-1-5-21-3755763317-1616084552-82519948-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kmibfmmikhbomjcihhmfndldkolomdpm]
2019-12-20 01:28 - 2019-12-20 01:28 - 000000073 _____ C:\Users\Public\README.txt
2019-12-20 01:28 - 2019-12-20 01:28 - 000000073 _____ C:\Users\Public\Downloads\README.txt
2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\README.txt
2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\Downloads\README.txt
2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\Documents\README.txt
2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\Desktop\README.txt
2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\AppData\Roaming\README.txt
2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\AppData\README.txt
2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\AppData\LocalLow\README.txt
2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\AppData\Local\README.txt
2019-12-20 01:26 - 2019-12-20 01:26 - 000000073 _____ C:\Users\Все пользователи\README.txt
2019-12-20 01:26 - 2019-12-20 01:26 - 000000073 _____ C:\Users\Public\Documents\README.txt
2019-12-20 01:26 - 2019-12-20 01:26 - 000000073 _____ C:\ProgramData\README.txt
2019-12-20 01:02 - 2019-12-20 01:02 - 000000000 ____H C:\Users\1s\Documents\Default.rdp
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Пароли еще утром сразу сменили.
Программы наши, для разных случаев и сотрудников.
Сделал как описали, ПК перезагрузился.
Файл прикрепил.
Огромное спасибо за поддержку.
 

Вложения

AdmVilor написал(а):
установлен и запущен был антивирус Касперский Смол офис
Нажмите для раскрытия...
Проблема не в этом.
Зашли удалённо с правами админа и отключили антивирус.

Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC - Russian v.15.007.20033 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

AdmVilor написал(а):
Запрос создали.
Нажмите для раскрытия...
Результат сообщите здесь, пожалуйста.
 
Хорошо.
Написали, что передали специалистам по этим делам.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

assus
Решена без расшифровки Помогите с расшифровкой файлов 4368 Фaйл зaшифрoвaн [petrov441@protonmail.com] wannacash
Ответы
1
Просмотры
308
thyrex
thyrex
B
Решена без расшифровки Помогите пожалуйста с расшифровкой файлов Enmity Ransomware
Ответы
9
Просмотры
1K
Sandor
Sandor
U
  • Закрыта
Закрыто Помогите с расшифровкой файлов ROGER [didoh@tutanota.com]
Ответы
1
Просмотры
1K
Sandor
Sandor
Назад
Сверху Снизу