• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Помощь в расшифровке файлов [profes0r@tutanota.com]

Статус
В этой теме нельзя размещать новые ответы.

Артур

Новый пользователь
Сообщения
2
Реакции
0
Рабочий компьютер( используется для хранения файлов и БД) подвергся атаке вируса шифровальщика, программа Doctor Web cureit определила его как Trojan.Encoder.32640. Все фалы включая базы данных были зашифрованы.
 

Вложения

Для этого вымогателя пока нет способа дешифровки данных. Увы.
 
Меняйте пароли на RDP

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
    2021-01-01 10:09 - 2021-01-01 10:09 - 000002403 _____ C:\Windows\SysWOW64\Drivers\!INFO.HTA
    2021-01-01 10:08 - 2021-01-01 10:08 - 000002403 _____ C:\Windows\Tasks\!INFO.HTA
    2021-01-01 10:08 - 2021-01-01 10:08 - 000002403 _____ C:\Windows\SysWOW64\!INFO.HTA
    2021-01-01 10:08 - 2021-01-01 10:08 - 000002403 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:08 - 000002403 _____ C:\Users\Все пользователи\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:08 - 000002403 _____ C:\Users\Все пользователи\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:08 - 000002403 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:08 - 000002403 _____ C:\Users\Public\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:08 - 000002403 _____ C:\Users\Public\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:08 - 000002403 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:08 - 000002403 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:08 - 000002403 _____ C:\ProgramData\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:08 - 000002403 _____ C:\ProgramData\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Администратор\Downloads\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Администратор\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Администратор\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Администратор\AppData\Roaming\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Администратор\AppData\LocalLow\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Администратор\AppData\Local\Temp\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Администратор\AppData\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Администратор\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\Downloads\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\AppData\Roaming\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\AppData\LocalLow\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\AppData\Local\Temp\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\AppData\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\terminal\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Public\Downloads\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Public\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\Downloads\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\LocalLow\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Local\Temp\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\MSSQL$MICROSOFT##WID\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default\Downloads\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default\AppData\Roaming\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default\AppData\Local\Temp\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default\AppData\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default User\Downloads\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default User\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default User\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default User\AppData\Roaming\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default User\AppData\Local\Temp\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default User\AppData\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\Default User\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\Downloads\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\AppData\Roaming\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\AppData\LocalLow\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\AppData\Local\Temp\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\AppData\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CUser\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\Downloads\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\Documents\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\Desktop\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\AppData\Roaming\Microsoft\Windows\Start Menu\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\AppData\Roaming\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\AppData\LocalLow\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\AppData\Local\Temp\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\AppData\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Users\1CBackupAgent\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ C:\Program Files\Common Files\!INFO.HTA
    2021-01-01 10:06 - 2021-01-01 10:08 - 000002403 _____ C:\Users\Все пользователи\!INFO.HTA
    2021-01-01 10:06 - 2021-01-01 10:08 - 000002403 _____ C:\ProgramData\!INFO.HTA
    2021-01-01 10:06 - 2021-01-01 10:06 - 000002403 _____ C:\Windows\!INFO.HTA
    2021-01-01 10:06 - 2021-01-01 10:06 - 000002403 _____ C:\Users\!INFO.HTA
    2021-01-01 10:06 - 2021-01-01 10:06 - 000002403 _____ C:\Program Files\!INFO.HTA
    2021-01-01 10:06 - 2021-01-01 10:06 - 000002403 _____ C:\Program Files (x86)\!INFO.HTA
    2021-01-01 10:06 - 2021-01-01 10:06 - 000002403 _____ () C:\Program Files\!INFO.HTA
    2021-01-01 10:06 - 2021-01-01 10:06 - 000002403 _____ () C:\Program Files (x86)\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ () C:\Program Files\Common Files\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ () C:\Program Files (x86)\Common Files\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ () C:\Users\Администратор\AppData\Roaming\!INFO.HTA
    2021-01-01 20:37 - 2021-01-01 20:38 - 000001694 _____ () C:\Users\Администратор\AppData\Roaming\hidewin.cfg
    2021-01-01 10:08 - 2021-01-01 10:08 - 000002403 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\!INFO.HTA
    2021-01-01 10:07 - 2021-01-01 10:07 - 000002403 _____ () C:\Users\Администратор\AppData\Local\!INFO.HTA
    FirewallRules: [{7442B04B-C013-4DAC-A7E7-6F5583F5E52B}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk.exe => No File
    FirewallRules: [{238909E8-F0DB-46BA-BAF7-956BEAAB95E2}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk.exe => No File
    FirewallRules: [{A6742C14-CFFC-4C5A-A619-CDBB9FDD78D8}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk.exe => No File
    FirewallRules: [{9F45B53B-6918-4477-820A-DABC9884D382}] => (Allow) C:\Users\Администратор\Downloads\AnyDesk.exe => No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите когда будет возможность.

Подробнее читайте в этом руководстве.
 
В продолжение темы прикрепляю FixLog
 

Вложения

Меняйте пароли на RDP
+
Проверьте уязвимые места.
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу