• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Помогите с расшифровкой файлов

Статус
В этой теме нельзя размещать новые ответы.

AdmVilor

Новый пользователь
Сообщения
5
Реакции
0
Добрый день.
Помогите пожалуйста с расшифровкой файлов.
Утром вошли в учетную запись на компьютере, который был включен, так как планировали работать на нем удаленно с раннего утра.
Все файлы на дисках С и Д а так же флешка с ключами ЭЦП стали зашифрованы.
Вот такого вида:
Microsoft Edge.lnk[CS 1.7.0.1][opensafezona@protonmail.com].shv
регистр документов .docx[CS 1.7.0.1][opensafezona@protonmail.com].sjz
и так далее.
Самого вируса не обнаружили, установлен и запущен был антивирус Касперский Смол офис 7.
По времени создания зашифрованных файлов поняли что это было ночью с часу до двух ночи.
Логи и файлы прикрепляю.
Помогите пожалуйста, вся работа встала так как зашифрованными оказались файловые базы 1С7.
 

Вложения

  • README.txt
    73 байт · Просмотры: 1
  • Архив зашифрованных.rar
    533.7 KB · Просмотры: 1
  • Addition.txt
    43.8 KB · Просмотры: 1
  • FRST.txt
    238.6 KB · Просмотры: 2
Здравствуйте!

Это Cryakl одной из последних версий, расшифровки нет.
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку на всякий случай.

Помощь в очистке следов нужна или планируете переустановку системы?
 
Запрос создали.
Следов кроме как самих зашифрованных файлов и текстовых файлов с адресом больше вроде нет.
Систему переустанавливать не хотелось бы.
Буду признателен если подскажите что сделать дальше.
 
Пароли на RDP смените.
Программы удаленного управления TeamViewer, TightVNC и D:\AMMYY\AA_v3.5.exe - все ваши?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    CHR HKU\S-1-5-21-3755763317-1616084552-82519948-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kmibfmmikhbomjcihhmfndldkolomdpm]
    2019-12-20 01:28 - 2019-12-20 01:28 - 000000073 _____ C:\Users\Public\README.txt
    2019-12-20 01:28 - 2019-12-20 01:28 - 000000073 _____ C:\Users\Public\Downloads\README.txt
    2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\README.txt
    2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\Downloads\README.txt
    2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\Documents\README.txt
    2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\Desktop\README.txt
    2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\AppData\Roaming\README.txt
    2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\AppData\README.txt
    2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\AppData\LocalLow\README.txt
    2019-12-20 01:27 - 2019-12-20 01:27 - 000000073 _____ C:\Users\1s\AppData\Local\README.txt
    2019-12-20 01:26 - 2019-12-20 01:26 - 000000073 _____ C:\Users\Все пользователи\README.txt
    2019-12-20 01:26 - 2019-12-20 01:26 - 000000073 _____ C:\Users\Public\Documents\README.txt
    2019-12-20 01:26 - 2019-12-20 01:26 - 000000073 _____ C:\ProgramData\README.txt
    2019-12-20 01:02 - 2019-12-20 01:02 - 000000000 ____H C:\Users\1s\Documents\Default.rdp
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Пароли еще утром сразу сменили.
Программы наши, для разных случаев и сотрудников.
Сделал как описали, ПК перезагрузился.
Файл прикрепил.
Огромное спасибо за поддержку.
 

Вложения

  • Fixlog.txt
    3 KB · Просмотры: 1
установлен и запущен был антивирус Касперский Смол офис
Проблема не в этом.
Зашли удалённо с правами админа и отключили антивирус.

Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Сделал, высылаю.
Спасибо.
 

Вложения

  • SecurityCheck.txt
    7.5 KB · Просмотры: 2
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC - Russian v.15.007.20033 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

Запрос создали.
Результат сообщите здесь, пожалуйста.
 
Хорошо.
Написали, что передали специалистам по этим делам.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу