• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Прошу помощи, если она возможна.

Статус
В этой теме нельзя размещать новые ответы.

mr_fat

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Добрый день. 10 дней назад сотрудники поймали шифровальщика. Заражение произошло через rdp одной из сотрудниц. Учетная запись была с правами администратора, а она сама отошла от компьютера на совещание, прямо идеальное стечение обстоятельств. Удалили dr.web и запустили свою малварь.
Прикладываю архивы.
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,817
Реакции
1,952
Баллы
643
Здравствуйте!

К сожалению, это одна из последних версий Cryakl. Расшифровки скорее всего нет.
Помощь в очистке следов нужна?
 

mr_fat

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Здравствуйте. Спасибо за быстрый ответ. Да, было бы неплохо хотя бы от мусора избавиться
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,817
Реакции
1,952
Баллы
643
Следы бывшей установки Avast очистите по соотв. инструкции:
Чистка системы после некорректного удаления антивируса.

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [2920092] => 2920092
    HKU\S-1-5-21-1232067671-3028783490-815152627-1118\...\MountPoints2: {18549c60-1bfc-11ea-8ab4-001e101f8924} - "F:\Install MegaFon Internet.exe"
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {EB23D695-4B10-4CC9-BC55-02C0511D2DEB} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1873288 2019-10-14] (AVAST Software s.r.o. -> AVAST Software)
    U3 aswbdisk; no ImagePath
    2019-12-07 14:28 - 2019-12-07 14:28 - 000000107 _____ C:\Users\anisimov\AppData\LocalLow\README.txt
    2019-12-07 14:19 - 2019-12-07 14:19 - 000000107 _____ C:\Users\anisimov\AppData\Local\README.txt
    2019-12-07 14:19 - 2019-12-07 14:19 - 000000107 _____ C:\Users\anisimov\AppData\Local\Apps\README.txt
    2019-12-07 14:16 - 2019-12-07 14:16 - 000000107 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-12-07 14:15 - 2019-12-07 14:15 - 000000107 _____ C:\Users\Все пользователи\Documents\README.txt
    2019-12-07 14:15 - 2019-12-07 14:15 - 000000107 _____ C:\Users\Все пользователи\Desktop\README.txt
    2019-12-07 14:15 - 2019-12-07 14:15 - 000000107 _____ C:\Users\Public\Documents\README.txt
    2019-12-07 14:15 - 2019-12-07 14:15 - 000000107 _____ C:\Users\Public\Desktop\README.txt
    2019-12-07 14:15 - 2019-12-07 14:15 - 000000107 _____ C:\ProgramData\Documents\README.txt
    2019-12-07 14:15 - 2019-12-07 14:15 - 000000107 _____ C:\ProgramData\Desktop\README.txt
    2019-12-07 14:14 - 2019-12-07 14:14 - 000000107 _____ C:\Users\Все пользователи\README.txt
    2019-12-07 14:14 - 2019-12-07 14:14 - 000000107 _____ C:\ProgramData\README.txt
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    AlternateDataStreams: C:\Users\anisimov.SCGIZ:Heroes & Generals [38]
    HKU\S-1-5-21-1232067671-3028783490-815152627-1118\Software\Classes\.scr: scrfile =>  <==== ATTENTION
    FirewallRules: [{779E83E6-610D-4875-B4AE-10F75C731A14}] => (Allow) C:\Users\anisimov.SCGIZ\AppData\Local\MediaGet2\mediaget.exe No File
    FirewallRules: [{58A19DB8-EA46-4729-AFBB-580E81DF3C80}] => (Allow) C:\Users\anisimov.SCGIZ\AppData\Local\MediaGet2\mediaget.exe No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,817
Реакции
1,952
Баллы
643
По расшифровке при наличии лицензии на ваш антивирус, обратитесь к ним в тех поддержку.
По возможному восстановлению базы данных - в начале темы есть ссылка.
Заражение произошло через rdp
Пароль конечно смените.

Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

mr_fat

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
В тех поддержку уже обращался, сказали что не могут ничем помочь. Вы были последней надеждой.
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,817
Реакции
1,952
Баллы
643
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.2 v.4.5.52213 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50907.0 Внимание! Скачать обновления
FastStone Image Viewer, версия 4.5.0.0 v.4.5.0.0 Внимание! Скачать обновления
TeamViewer 12 v.12.0.77242 Внимание! Скачать обновления
TrueCrypt v.6.3a Данная программа больше не поддерживается разработчиком.. Рекомендуется использовать VeraCrypt.
-------------------------------- [ Arch ] ---------------------------------
7-Zip 9.20 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
 

mr_fat

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Еще раз большое спасибо за помощь!
А с обновлениями тут целая история. Прошлый админ оставил парк необновленных машин, выпадающих в ошибку и откат при попытке обновления. Проще будет, наверное, заново все переустановить.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу