• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Помогите! Зацепил email-3nity@tuta.io.ver-CS 1.6.id

dorowa

Новый пользователь
Сообщения
6
Реакции
0
"Зашифрованы" файлы на удаленном сервере, доступ только по RDP. Сервер перегружался. Первично была запущена проверка стандартным дефендером и утилитой дрвеб, ничего не найдено.

В архиве FRST.txt и Addition.txt
 

Вложения

  • archive.zip
    39.6 KB · Просмотры: 3
Зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к следующему сообщению.
Затем соберите и прикрепите свежие логи FRST.
 
Зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к следующему сообщению.
Затем соберите и прикрепите свежие логи FRST.
Готово
В архиве файлы
 

Вложения

  • FRST.zip
    40.5 KB · Просмотры: 1
  • KVRT_Data.zip
    342.4 KB · Просмотры: 2
  • compare.zip
    34.4 KB · Просмотры: 2
Последнее редактирование:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\Public\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\Public\Downloads\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\Downloads\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\Documents\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\Desktop\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-26 03:53 - 2019-06-26 03:53 - 000000061 _____ C:\Users\develop\AppData\Roaming\README.txt
    2019-06-26 03:53 - 2019-06-26 03:53 - 000000061 _____ C:\Users\develop\AppData\README.txt
    2019-06-26 03:53 - 2019-06-26 03:53 - 000000061 _____ C:\Users\develop\AppData\LocalLow\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\develop\AppData\Local\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\Downloads\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\Documents\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\Desktop\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\AppData\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\AppData\Local\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\Documents\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\AppData\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-06-26 03:49 - 2019-06-26 03:54 - 000000778 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-06-26 03:49 - 2019-06-26 03:54 - 000000061 _____ C:\Users\Public\Documents\README.txt
    2019-06-26 03:49 - 2019-06-26 03:51 - 000000778 _____ C:\ProgramData\email-3nity@tuta.io.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-06-26 03:49 - 2019-06-26 03:51 - 000000061 _____ C:\ProgramData\README.txt
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Подробнее читайте в этом руководстве.
 
++KVRT удалил сам шифровальщик.
 
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\Public\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\Public\Downloads\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\Downloads\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\Documents\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\Desktop\README.txt
    2019-06-26 03:54 - 2019-06-26 03:54 - 000000061 _____ C:\Users\develop\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-26 03:53 - 2019-06-26 03:53 - 000000061 _____ C:\Users\develop\AppData\Roaming\README.txt
    2019-06-26 03:53 - 2019-06-26 03:53 - 000000061 _____ C:\Users\develop\AppData\README.txt
    2019-06-26 03:53 - 2019-06-26 03:53 - 000000061 _____ C:\Users\develop\AppData\LocalLow\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\develop\AppData\Local\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\Downloads\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\Documents\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\Desktop\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\AppData\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default\AppData\Local\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\Documents\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\AppData\README.txt
    2019-06-26 03:51 - 2019-06-26 03:51 - 000000061 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-06-26 03:49 - 2019-06-26 03:54 - 000000778 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-06-26 03:49 - 2019-06-26 03:54 - 000000061 _____ C:\Users\Public\Documents\README.txt
    2019-06-26 03:49 - 2019-06-26 03:51 - 000000778 _____ C:\ProgramData\email-3nity@tuta.io.ver-CS 1.6.id-.fname-README.txt.cs16
    2019-06-26 03:49 - 2019-06-26 03:51 - 000000061 _____ C:\ProgramData\README.txt
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Подробнее читайте в этом руководстве.
Готово
 

Вложения

  • Fixlog.txt
    5.5 KB · Просмотры: 1
Некоторое время подождите и не удаляйте папку C:\FRST
 
Вот еще пара rtf-зашифрованый
 

Вложения

  • encrypted2.zip
    65.7 KB · Просмотры: 0
В разумное время создать "лекарство" для версии 1.6. невозможно. При наличии лицензии можете обратиться в службу поддержки DrWeb или ЛК, может они что-то придумали... если будет положительный ответ от них, отпишитесь в своей теме. Спасибо
 
Назад
Сверху Снизу