• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Прошу помочь расшифровать mr.yoba@aol.com

rulez

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Добрый день. Нужна помощь с кодировщиком mr.yoba@aol.com. Сотрудники притащил на ПК на котором была база 1с 8.3 розница. Естественно 1с теперь не запускается у файла появилась приписка к расширению ( 1Cv8.1CD.[mr.yoba@aol.com].yoba ). Можно что то в данной ситуации сделать? остальные файлы ПК не важны. При необходимости смогу сбросить зараженный файл
 

rulez

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Хорошо сейчас все подготовлю и отправлю
 

rulez

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Лог файл во вложении. зараженные файлы загружаются на облако и отправлю ссылкой
 

Вложения

rulez

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
ссылка на зараженные файлы и письмо с информацией разблокировки
 

rulez

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Корректный файл с паролем
 

rulez

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
После кодировки на рабочем столе обнаружили папку по словам сотрудников которую никто не создавал. Я забросил ее в архив с паролем 111
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,789
Реакции
13,524
Баллы
2,203
Удаленное управление используете?
Ammyy LLC и TeamViewer

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Users\POS\Downloads\fqun1if5.exe;
    HKU\S-1-5-21-2424905916-2150460102-2591192019-1000\...\MountPoints2: {fa147a4c-7e45-11e9-b1cb-806e6f6e6963} - D:\DriverPackSolution.exe
    2019-08-12 05:08 - 2019-08-12 05:08 - 000000438 _____ C:\Users\Public\Downloads\!=How_recovery_files=!.txt
    2019-08-12 05:08 - 2019-08-12 05:08 - 000000438 _____ C:\Users\Public\Documents\!=How_recovery_files=!.txt
    2019-08-12 05:08 - 2019-08-12 05:08 - 000000438 _____ C:\Users\Public\Desktop\!=How_recovery_files=!.txt
    2019-08-12 05:08 - 2019-08-12 05:08 - 000000438 _____ C:\Users\Public\!=How_recovery_files=!.txt
    2019-08-12 05:08 - 2019-08-12 05:08 - 000000438 _____ C:\Users\POS\Downloads\!=How_recovery_files=!.txt
    2019-08-12 05:08 - 2019-08-12 05:08 - 000000438 _____ C:\Users\POS\Documents\!=How_recovery_files=!.txt
    2019-08-12 05:08 - 2019-08-12 05:08 - 000000438 _____ C:\Users\POS\Desktop\!=How_recovery_files=!.txt
    2019-08-12 05:08 - 2019-08-12 05:08 - 000000438 _____ C:\Users\POS\AppData\Roaming\!=How_recovery_files=!.txt
    2019-08-12 05:08 - 2019-08-12 05:08 - 000000438 _____ C:\Users\POS\AppData\LocalLow\!=How_recovery_files=!.txt
    2019-08-12 05:08 - 2019-08-12 05:08 - 000000438 _____ C:\Users\POS\AppData\Local\!=How_recovery_files=!.txt
    2019-08-12 05:08 - 2019-08-12 05:08 - 000000438 _____ C:\Users\POS\AppData\!=How_recovery_files=!.txt
    2019-08-12 05:08 - 2019-08-12 05:08 - 000000438 _____ C:\Users\POS\!=How_recovery_files=!.txt
    2019-08-12 05:08 - 2019-08-12 05:08 - 000000438 _____ C:\Users\!=How_recovery_files=!.txt
    2019-08-12 05:08 - 2019-08-12 05:08 - 000000438 _____ C:\!=How_recovery_files=!.txt
    2019-08-12 05:07 - 2019-08-12 05:07 - 000000438 _____ C:\Users\Default\Downloads\!=How_recovery_files=!.txt
    2019-08-12 05:07 - 2019-08-12 05:07 - 000000438 _____ C:\Users\Default\Documents\!=How_recovery_files=!.txt
    2019-08-12 05:07 - 2019-08-12 05:07 - 000000438 _____ C:\Users\Default\Desktop\!=How_recovery_files=!.txt
    2019-08-12 05:07 - 2019-08-12 05:07 - 000000438 _____ C:\Users\Default\AppData\Roaming\!=How_recovery_files=!.txt
    2019-08-12 05:07 - 2019-08-12 05:07 - 000000438 _____ C:\Users\Default\AppData\Local\!=How_recovery_files=!.txt
    2019-08-12 05:07 - 2019-08-12 05:07 - 000000438 _____ C:\Users\Default\AppData\!=How_recovery_files=!.txt
    2019-08-12 05:07 - 2019-08-12 05:07 - 000000438 _____ C:\Users\Default\!=How_recovery_files=!.txt
    2019-08-12 05:07 - 2019-08-12 05:07 - 000000438 _____ C:\Users\Default User\Downloads\!=How_recovery_files=!.txt
    2019-08-12 05:07 - 2019-08-12 05:07 - 000000438 _____ C:\Users\Default User\Documents\!=How_recovery_files=!.txt
    2019-08-12 05:07 - 2019-08-12 05:07 - 000000438 _____ C:\Users\Default User\Desktop\!=How_recovery_files=!.txt
    2019-08-12 05:07 - 2019-08-12 05:07 - 000000438 _____ C:\Users\Default User\AppData\Roaming\!=How_recovery_files=!.txt
    2019-08-12 05:07 - 2019-08-12 05:07 - 000000438 _____ C:\Users\Default User\AppData\Local\!=How_recovery_files=!.txt
    2019-08-12 05:07 - 2019-08-12 05:07 - 000000438 _____ C:\Users\Default User\AppData\!=How_recovery_files=!.txt
    2019-08-12 05:07 - 2019-08-12 05:07 - 000000438 _____ C:\Users\admin\Downloads\!=How_recovery_files=!.txt
    2019-08-12 05:07 - 2019-08-12 05:07 - 000000438 _____ C:\Users\admin\!=How_recovery_files=!.txt
    2019-08-12 05:06 - 2019-08-12 05:06 - 000000438 _____ C:\Users\admin\Documents\!=How_recovery_files=!.txt
    2019-08-12 05:06 - 2019-08-12 05:06 - 000000438 _____ C:\Users\admin\Desktop\!=How_recovery_files=!.txt
    2019-08-12 05:06 - 2019-08-12 05:06 - 000000438 _____ C:\Users\admin\AppData\Roaming\!=How_recovery_files=!.txt
    2019-08-12 05:06 - 2019-08-12 05:06 - 000000438 _____ C:\Users\admin\AppData\!=How_recovery_files=!.txt
    2019-08-12 05:05 - 2019-08-12 05:05 - 002009952 ____H C:\Users\admin\AppData\Local\IconCache.db.[mr.yoba@aol.com].yoba
    2019-08-12 05:05 - 2019-08-12 05:05 - 000000438 _____ C:\Users\admin\AppData\LocalLow\!=How_recovery_files=!.txt
    2019-08-12 05:05 - 2019-08-12 05:05 - 000000438 _____ C:\Users\admin\AppData\Local\!=How_recovery_files=!.txt
    2019-08-12 05:04 - 2019-08-12 05:08 - 000000438 _____ C:\Users\Все пользователи\!=How_recovery_files=!.txt
    2019-08-12 05:04 - 2019-08-12 05:08 - 000000438 _____ C:\ProgramData\!=How_recovery_files=!.txt
    2019-08-12 05:08 - 2019-08-12 05:08 - 000000438 _____ () C:\Users\POS\AppData\Roaming\!=How_recovery_files=!.txt
    2019-08-12 05:08 - 2019-08-12 05:08 - 000000438 _____ () C:\Users\POS\AppData\Roaming\Microsoft\!=How_recovery_files=!.txt
    2019-08-12 05:08 - 2019-08-12 05:08 - 000000438 _____ () C:\Users\POS\AppData\Local\!=How_recovery_files=!.txt
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Судя по всему, это продолжение развития ветки junior, для нее нет расшифровки (@thyrex скажет точнее)
 

rulez

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Не создает файл ошибку выдает
Могу попробовать создать файл руками. Есть смысл?
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,789
Реакции
13,524
Баллы
2,203
Скрипт скопировали полностью? (включая двойное двоеточие)
 

rulez

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Тупил сделал сейчас жду перезагрузки)))
 

rulez

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Файл во вложении
 

Вложения

rulez

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Есть надежда по файлу базы?
 

akok

Команда форума
Администратор
Сообщения
17,789
Реакции
13,524
Баллы
2,203
Расшифровки (пока) под эту версию нет, и неизвестно, будет ли вообще. Что с бекапами?

Смените пароли на Rdp и переименуйте стандартные имена администраторов.
 

rulez

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Бэки от 1с отсутствуют а теневые винды эта радость удалила ((((
 

akok

Команда форума
Администратор
Сообщения
17,789
Реакции
13,524
Баллы
2,203
Удалила, да. Получил подтверждение от коллеги, расшифровки нет.
 
Сверху Снизу