• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Помощь в расшифровке файлов

Артур

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
Рабочий компьютер( используется для хранения файлов и БД) подвергся атаке вируса шифровальщика, программа Doctor Web cureit определила его как Trojan.Encoder.32640. Все фалы включая базы данных были зашифрованы.
 

Вложения

  • Логи и зашифрованные файлы.rar
    821.6 KB · Просмотры: 2
  • Вирус.rar
    512.4 KB · Просмотры: 1

akok

Команда форума
Администратор
Сообщения
20,052
Реакции
13,719
Баллы
2,203
Для этого вымогателя пока нет способа дешифровки данных. Увы.
 

akok

Команда форума
Администратор
Сообщения
20,052
Реакции
13,719
Баллы
2,203
Меняйте пароли на RDP

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
    2021-01-01 10:09 - 2021-01-01 10:09 - 000002403 _____ C:\Windows\SysWOW64\Drivers\!INFO.HTA
    2021-01-01 10:08 - 2021-01-01 10:08 - 000002403 _____ C:\Windows\Tasks\!INFO.HTA
    2021-01-01 10:08 - 2021-01-01 10:08 - 000002403 _____ C:\Windows\SysWOW64\!INFO.HTA
    2021-01-01 10:08 - 2021-01-01 10:08 - 000002403 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:08 - 000002403 _____ C:\Users\Все пользователи\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:08 - 000002403 _____ C:\Users\Все пользователи\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:08 - 000002403 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:08 - 000002403 _____ C:\Users\Public\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:08 - 000002403 _____ C:\Users\Public\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:08 - 000002403 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:08 - 000002403 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:08 - 000002403 _____ C:\ProgramData\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:08 - 000002403 _____ C:\ProgramData\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Администратор\Downloads\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Администратор\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Администратор\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Администратор\AppData\Roaming\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Администратор\AppData\LocalLow\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Администратор\AppData\Local\Temp\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Администратор\AppData\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Администратор\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\Downloads\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\AppData\Roaming\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\AppData\LocalLow\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\AppData\Local\Temp\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\AppData\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Public\Downloads\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Public\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\Downloads\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\LocalLow\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Local\Temp\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default\Downloads\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default\AppData\Roaming\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default\AppData\Local\Temp\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default\AppData\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default User\Downloads\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default User\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default User\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default User\AppData\Roaming\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default User\AppData\Local\Temp\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default User\AppData\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default User\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\Downloads\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\AppData\Roaming\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\AppData\LocalLow\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\AppData\Local\Temp\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\AppData\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\Downloads\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\AppData\Roaming\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\AppData\LocalLow\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\AppData\Local\Temp\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\AppData\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Program Files\Common Files\!INFO.HTA
    2021-01-01 10:06 - 2021-01-01 10:08 - 000002403 _____ C:\Users\Все пользователи\!INFO.HTA
    2021-01-01 10:06 - 2021-01-01 10:08 - 000002403 _____ C:\ProgramData\!INFO.HTA
    2021-01-01 10:06 - 2021-01-01 10:06 - 000002403 _____ C:\Windows\!INFO.HTA
    2021-01-01 10:06 - 2021-01-01 10:06 - 000002403 _____ C:\Users\!INFO.HTA
    2021-01-01 10:06 - 2021-01-01 10:06 - 000002403 _____ C:\Program Files\!INFO.HTA
    2021-01-01 10:06 - 2021-01-01 10:06 - 000002403 _____ C:\Program Files (x86)\!INFO.HTA
    2021-01-01 10:06 - 2021-01-01 10:06 - 000002403 _____ () C:\Program Files\!INFO.HTA
    2021-01-01 10:06 - 2021-01-01 10:06 - 000002403 _____ () C:\Program Files (x86)\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ () C:\Program Files\Common Files\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ () C:\Program Files (x86)\Common Files\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ () C:\Users\Администратор\AppData\Roaming\!INFO.HTA
    2021-01-01 20:37 - 2021-01-01 20:38 - 000001694 _____ () C:\Users\Администратор\AppData\Roaming\hidewin.cfg
    2021-01-01 10:08 - 2021-01-01 10:08 - 000002403 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ () C:\Users\Администратор\AppData\Local\!INFO.HTA
    FirewallRules: [{7442B04B-C013-4DAC-A7E7-6F5583F5E52B}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk.exe => No File
    FirewallRules: [{238909E8-F0DB-46BA-BAF7-956BEAAB95E2}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk.exe => No File
    FirewallRules: [{A6742C14-CFFC-4C5A-A619-CDBB9FDD78D8}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk.exe => No File
    FirewallRules: [{9F45B53B-6918-4477-820A-DABC9884D382}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk.exe => No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите когда будет возможность.

Подробнее читайте в этом руководстве.
 

Артур

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
В продолжение темы прикрепляю FixLog
 

Вложения

  • Fixlog.txt
    18.3 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,824
Реакции
2,352
Баллы
653
Меняйте пароли на RDP
+
Проверьте уязвимые места.
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
 
  • Like
Реакции: akok
Сверху Снизу