• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Прошу помочь с шифровальщиком email-3nity@tuta.io.ver-CL 1.5.1.0(25.06.2019)

Статус
В этой теме нельзя размещать новые ответы.

Azamatbz

Новый пользователь
Сообщения
13
Реакции
0
Был взломан сервер Windows 2008 R2. Все файлы были зашифрованы и имеют расширение email-3nity@tuta.io.ver-CL 1.5.1.0 .doubleoffset. Часть файлов удалось восстановить с помощью резервных копий.
Зашифрованные файлы .doubleoffsetо вложении, архив с паролем "vir".
Сделал логи с помощью программы AutoLogger.
Прошу помощь в восстановлении работы сервера и файлов.
 

Вложения

Здравствуйте!

Вы собрали логи устаревшей версией Автологера. Не из терминальной сессии есть возможность собрать логи? Т.е. непосредственно на сервере?
Если нет:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteRepair(9);
end.

Пожалуйста, перезагрузите компьютер вручную.

Сделал в режиме консоли логи
Только почему-то устаревшей версией Автологера.

Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 
Пожалуйста, подскажете. Сделать жесткую перезагрузку? Или можно стандартными средствами windows?
 
Скрипт AVZ выполнил. Сервер перезагрузил.
Сделал логи программой FRST64. Нет, возможности запустить Автологгер в режиме консоли.
 

Вложения

Или можно стандартными средствами windows?
Обычной перезагрузки достаточно.
Что делать с этим файлом? Необходимо удалить
Удаляйте....

Смените пароли на RDP.

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 256 байт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\андрей\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\андрей\Downloads\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\андрей\AppData\Roaming\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\андрей\AppData\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\андрей\AppData\LocalLow\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\Администратор\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\Администратор\Downloads\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\Администратор\AppData\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user05\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user05\Downloads\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user05\AppData\Roaming\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user05\AppData\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user05\AppData\LocalLow\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user04\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user04\Downloads\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user04\AppData\Roaming\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user04\AppData\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user04\AppData\LocalLow\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user03\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user03\Downloads\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user03\AppData\Roaming\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user03\AppData\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user03\AppData\LocalLow\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user02\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user02\Downloads\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user02\AppData\Roaming\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user02\AppData\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user02\AppData\LocalLow\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user01\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user01\Downloads\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user01\AppData\Roaming\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user01\AppData\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\user01\AppData\LocalLow\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser2\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser2\Downloads\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser2\AppData\Roaming\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser2\AppData\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser2\AppData\LocalLow\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser1\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser1\Downloads\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser1\AppData\Roaming\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser1\AppData\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser1\AppData\LocalLow\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\Lynn\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\Lynn\Downloads\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\Lynn\AppData\Roaming\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\Lynn\AppData\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\Lynn\AppData\LocalLow\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\jenya\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\jenya\Downloads\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\jenya\AppData\Roaming\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\jenya\AppData\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\jenya\AppData\LocalLow\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default\Downloads\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default\AppData\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default User\AppData\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\bz\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\bz\Downloads\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\bz\AppData\Roaming\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\bz\AppData\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\bz\AppData\LocalLow\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Administrator.RUSIT-AUTO\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Administrator.RUSIT-AUTO\Downloads\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Administrator.RUSIT-AUTO\AppData\Roaming\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Administrator.RUSIT-AUTO\AppData\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Administrator.RUSIT-AUTO\AppData\LocalLow\README.txt
    2019-06-25 22:02 - 2019-06-25 22:02 - 000000061 _____ C:\Users\administrator\README.txt
    2019-06-25 22:02 - 2019-06-25 22:02 - 000000061 _____ C:\Users\administrator\Downloads\README.txt
    2019-06-25 22:02 - 2019-06-25 22:02 - 000000061 _____ C:\Users\administrator\AppData\Roaming\README.txt
    2019-06-25 22:02 - 2019-06-25 22:02 - 000000061 _____ C:\Users\administrator\AppData\README.txt
    2019-06-25 22:02 - 2019-06-25 22:02 - 000000061 _____ C:\Users\administrator\AppData\LocalLow\README.txt
    2019-06-25 22:00 - 2019-06-25 22:00 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 22:00 - 2019-06-25 22:00 - 000000061 _____ C:\Program Files (x86)\README.txt
    2019-06-25 21:58 - 2019-06-25 21:58 - 000000061 _____ C:\Program Files\README.txt
    2019-06-25 21:58 - 2019-06-25 21:58 - 000000061 _____ C:\Program Files\Common Files\README.txt
    2019-06-25 21:38 - 2019-06-25 22:05 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Process Hacker 2
    2019-06-25 21:58 - 2019-06-25 21:58 - 000000061 _____ () C:\Program Files\README.txt
    2019-06-25 22:00 - 2019-06-25 22:00 - 000000061 _____ () C:\Program Files (x86)\README.txt
    2019-06-25 21:58 - 2019-06-25 21:58 - 000000061 _____ () C:\Program Files\Common Files\README.txt
    2019-06-25 21:59 - 2019-06-25 21:59 - 000000061 _____ () C:\Program Files (x86)\Common Files\README.txt
    FirewallRules: [{40D50687-53EA-4FF9-989F-245BBF25A9A4}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную

Подробнее читайте в этом руководстве.
 
1. Сменить пароли пользователей не удается. Система сообщает, что пароль изменен успешно. А по факту пароль остается прежним. Заблокировал все админские учетные записи кроме одной, на роутере ограничил подключение по ip адресу,

2. Найденные зашифрованные файлы и и оригиналы прикрепил (пароль к архиву "vir"). Позже смогу найти больше файлов.

3. Рядом с программой FRST создал файл fixlist.txt. Скопировал на него скрипт, сохранил в юникод. Запустил программу FRST от имени администратор и нажал FIX. После сообщения об успешного выполнения скрипта, сервер перезагрузился.
 

Вложения

  • Fixlog.txt
    Fixlog.txt
    14.7 KB · Просмотры: 1
  • file.7z
    file.7z
    70.2 KB · Просмотры: 2
Сменить пароли пользователей не удается
Пробуйте ещё раз после фикса и перезагрузки.

Рядом с программой FRST создал файл fixlist.txt. Скопировал на него скрипт, сохранил в юникод
Чисто из любопытства - зачем вы так делали? Вам показалось, что в инструкции @akok есть ошибка? :)
+
Проверьте ЛС.
 
Последнее редактирование:
Чисто из любопытства - зачем вы так делали? Вам показалось, что в инструкции @akok есть ошибка? :)
Я сделал по инструкции, которую вы написали ранее:
По этой инструкции выполнил первый пункт:
1. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот).
Скопируйте в него скрипт, предложенный хелпером, и сохраните как fixlist.txt в папке с программой Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод.
 
Откат или переустановка рассматривается?
 
Если не удается восстановить, переустановка в любом случае.
 
Если не удается восстановить
Решение есть. Только мы хотим понять что будет с системой? Переустановка?

пароль не меняется. Так же очень много проблем с самой ОС
Мы дадим инструкцию по расшифровке, а вы опять наступите на те же грабли.
 
Немного затянулось. Упала дерево на провода. Сидели выходные без электричества.

1. Дешифратор помог. Все необходимые файлы расшифровали. Не поддались дешифровке только файлы более 20Гб, rar-архивы, но для нас это не нужно. Файлы в имени которых встречались нестандартные символы расшифровались после переименования. Огромное спасибо.

2. Сервер был сегодня переустановлен. Скачены и установлены все обновления. Сменили пароли Администратора сервера. Удалены лишние пользователи. Для всех пользователей сменили пароли. Сменили пароли на сетевое оборудование. Подключение ограничили по ip-адресу.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу