• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Прошу помочь с шифровальщиком email-3nity@tuta.io.ver-CL 1.5.1.0.

metanol100

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Вчера эта зараза накрыла сервер.
Прошу помочь
 

Вложения

metanol100

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Сервер, запускается, работает.
Зашифрованы документы и бинарные файлы различных программ.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,823
Реакции
1,952
Баллы
643
Здравствуйте!

С расшифровкой скорее всего помочь не сможем.

D:\cmd\start.cmd - файл известен?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,823
Реакции
1,952
Баллы
643
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteRepair(9);
end.
Пожалуйста, перезагрузите компьютер вручную.


Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 

metanol100

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
найдено вредоносных программ 0, подозрений - 0


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteRepair(9);
end.
Пожалуйста, перезагрузите компьютер вручную.


Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,823
Реакции
1,952
Баллы
643
"Пофиксите" в HijackThis:
Код:
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe
Перезагрузите компьютер и соберите свежий CollectionLog.
+ Постарайтесь найти пару зашифрованный и его не зашифрованный оригинал (в бэкапах, в почте, на других ПК и т.д.)
Упакуйте в архив и прикрепите к следующему сообщению.
 

akok

Команда форума
Администратор
Сообщения
18,348
Реакции
13,805
Баллы
2,203
Пожалуйста, подготовьте пару файлов зашифрованный/не зашифрованный.
 

metanol100

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Пожалуйста.

"Пофиксите" в HijackThis:
Код:
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe
Перезагрузите компьютер и соберите свежий CollectionLog.
+ Постарайтесь найти пару зашифрованный и его не зашифрованный оригинал (в бэкапах, в почте, на других ПК и т.д.)
Упакуйте в архив и прикрепите к следующему сообщению.
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,823
Реакции
1,952
Баллы
643
Некоторое время подождите.
Могу предположить, что дыра в системе была подготовлена тем, кто имел доступ (или знал пароль админа).
Сейчас она закрыта.
 

akok

Команда форума
Администратор
Сообщения
18,348
Реакции
13,805
Баллы
2,203
Лучше бы текстовый файл, или офисный, иначе проверить сложнее. Проверяйте файл, на успешность рассшифровки сами, в блокноте вроде все нормально выглядит.
 

Вложения

  • 339 байт Просмотры: 1
Последнее редактирование:

metanol100

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
А я скинул. Файл сеттинг содержит текст

include ':usbRes'

Пошли проверять.

Лучше бы текстовый файл, или офисный, иначе проверить сложнее. Проверяйте файл, на успешность рассшифровки сами, в блокноте вроде все нормально
44461

Вроде ВСЕ ОК!

Лучше бы текстовый файл, или офисный, иначе проверить сложнее. Проверяйте файл, на успешность рассшифровки сами, в блокноте вроде все нормально выглядит.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
18,348
Реакции
13,805
Баллы
2,203
Проверьте ЛС
 

metanol100

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Почти все файлы восстановлены. Не восстановились несколько бэкапов, не подошел ключ, но это не важно. Дешифратор несколько раз вываливался с ошибками, но это тоже не важно.

Выражаю огромную благодарность
Sandor
akok

за помощь.

Спасибо, коллеги!
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,823
Реакции
1,952
Баллы
643
Проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Читайте Рекомендации после удаления вредоносного ПО
 
Сверху Снизу