• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Помогите с расшифровкой файлов

Статус
В этой теме нельзя размещать новые ответы.

AdmVilor

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Добрый день.
Помогите пожалуйста с расшифровкой файлов.
Утром вошли в учетную запись на компьютере, который был включен, так как планировали работать на нем удаленно с раннего утра.
Все файлы на дисках С и Д а так же флешка с ключами ЭЦП стали зашифрованы.
Вот такого вида:
Microsoft Edge.lnk[CS 1.7.0.1][opensafezona@protonmail.com].shv
регистр документов .docx[CS 1.7.0.1][opensafezona@protonmail.com].sjz
и так далее.
Самого вируса не обнаружили, установлен и запущен был антивирус Касперский Смол офис 7.
По времени создания зашифрованных файлов поняли что это было ночью с часу до двух ночи.
Логи и файлы прикрепляю.
Помогите пожалуйста, вся работа встала так как зашифрованными оказались файловые базы 1С7.
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,811
Реакции
1,952
Баллы
643
Здравствуйте!

Это Cryakl одной из последних версий, расшифровки нет.
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку на всякий случай.

Помощь в очистке следов нужна или планируете переустановку системы?
 

AdmVilor

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Запрос создали.
Следов кроме как самих зашифрованных файлов и текстовых файлов с адресом больше вроде нет.
Систему переустанавливать не хотелось бы.
Буду признателен если подскажите что сделать дальше.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,811
Реакции
1,952
Баллы
643
Пароли на RDP смените.
Программы удаленного управления TeamViewer, TightVNC и D:\AMMYY\AA_v3.5.exe - все ваши?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    CHR HKU\S-1-5-21-3755763317-1616084552-82519948-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kmibfmmikhbomjcihhmfndldkolomdpm]
    2019-12-20 01:28 - 2019-12-20 01:28 - 000000073 _____ C:\Users\Public\README.txt
    2019-12-20 01:28 - 2019-12-20 01:28 - 000000073 _____ C:\Users\Public\Downloads\README.txt
    2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\README.txt
    2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\Downloads\README.txt
    2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\Documents\README.txt
    2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\Desktop\README.txt
    2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\AppData\Roaming\README.txt
    2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\AppData\README.txt
    2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\AppData\LocalLow\README.txt
    2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\AppData\Local\README.txt
    2019-12-20 01:26 - 2019-12-20 01:26 - 000000073 _____ C:\Users\Все пользователи\README.txt
    2019-12-20 01:26 - 2019-12-20 01:26 - 000000073 _____ C:\Users\Public\Documents\README.txt
    2019-12-20 01:26 - 2019-12-20 01:26 - 000000073 _____ C:\ProgramData\README.txt
    2019-12-20 01:02 - 2019-12-20 01:02 - 000000000 ____H C:\Users\1s\Documents\Default.rdp
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

AdmVilor

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Пароли еще утром сразу сменили.
Программы наши, для разных случаев и сотрудников.
Сделал как описали, ПК перезагрузился.
Файл прикрепил.
Огромное спасибо за поддержку.
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,811
Реакции
1,952
Баллы
643
установлен и запущен был антивирус Касперский Смол офис
Проблема не в этом.
Зашли удалённо с правами админа и отключили антивирус.

Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,811
Реакции
1,952
Баллы
643
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC - Russian v.15.007.20033 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

Запрос создали.
Результат сообщите здесь, пожалуйста.
 

AdmVilor

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Хорошо.
Написали, что передали специалистам по этим делам.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу