• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. blackdragon43@yahoo.com.ver-CL 1.5.1.0.

Статус
В этой теме нельзя размещать новые ответы.

acp

Новый пользователь
Сообщения
9
Реакции
0
Сегодня перезагрузился компьютер и после этого большинство пользовательских файлов оказались зашифрованными. После перезагрузки увидел кучу мусора на рабочем столе, не придал этому значения и все с рабочего стола удалил. А после понял, что это был шифровальщик.
Приложил логи и 2 примера файлов.
 

Вложения

  • CollectionLog-2019.05.12-23.15.zip
    110.2 KB · Просмотры: 1
  • файлы.zip
    64.7 KB · Просмотры: 3
1. Смените пароли на RDP
2. Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
3. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
4. Ждите ответа от @thyrex по поводу возможности расшифровки.
 

Вложения

  • Addition.txt
    57 KB · Просмотры: 0
  • FRST.txt
    210 KB · Просмотры: 0
Расшифрованные файлы файлы.rar (61.73KB) - SendSpace.com

Расшифровка будет выдана после выполнения предыдущей рекомендации и дальнейшей зачистки мусора.
 
Расшифровка будет выдана после выполнения предыдущей рекомендации и дальнейшей зачистки мусора.

О каких именно рекомендациях идет речь?
Если по сообщению от akok, то их я почти выполнил:

1. По смене паролей RDP не совсем понял, необходимо сменить пароли пользователей, которые имеют доступ к компьютеру по RDP?
2, 3. Прикрепил логи в этом сообщении: https://safezone.cc/threads/proshu-...877-98106752863863944328609.33116/post-271239
На нем сейчас пометка: "Это сообщение ожидает одобрения модератором, и скрыто от обычных посетителей."

Каким образом сделать зачистку мусора?
 
Последнее редактирование:
Пароли всех пользователей изменены.

П.3 сообщения 2 был выполнен при публикации сообщения 3. Жду дальнейших указаний.
 
3. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Я об этом. А вы о чём?
 
Чтоб не было путаницы прикрепите их к следующему сообщению еще раз.
 
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [173249] => 173249
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {0E811BFC-B3F4-4CEE-BD0D-3F3913D96305} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
    Task: {242B9A5E-6E7B-48E1-A8C0-218EA5C7D9EB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
    Task: {279212B7-654E-4520-A3D7-7E2CED89A2FB} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
    Task: {2899B77A-3310-4A8D-A18D-585DE15A8BAF} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
    Task: {49AB01F4-CB53-4BE6-896E-B952901BC4EB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
    Task: {594C24A2-6E8C-4D41-A271-2022EDEFC3F5} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
    Task: {607EAC94-B35C-49F9-B3A9-F3923CF7F4E9} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
    Task: {902AB183-3EC9-4638-8D12-07730A5BF6B5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
    Task: {928DF9B1-AF7D-420B-817A-91165C7A9E00} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
    Task: {A55EB384-AB7B-46C4-8921-49DD84B585C4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
    Task: {B67EFA66-F5D1-4B2A-94F2-B8496BB9B71F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
    FF SearchPlugin: C:\Users\Антон\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4067288877-98106752863863944328609.fname-yandex.ru-20195829.xml.doubleoffset [2019-05-08]
    FF SearchPlugin: C:\Users\Антон\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\README.txt [2019-05-08]
    2019-05-08 03:42 - 2019-05-08 03:42 - 000000071 _____ C:\Users\Антон\README.txt
    2019-05-08 03:42 - 2019-05-08 03:42 - 000000071 _____ C:\Users\Антон\Downloads\README.txt
    2019-05-08 03:42 - 2019-05-08 03:42 - 000000071 _____ C:\Users\Антон\Documents\README.txt
    2019-05-08 03:42 - 2019-05-08 03:42 - 000000071 _____ C:\Users\Антон\AppData\Roaming\README.txt
    2019-05-08 03:42 - 2019-05-08 03:42 - 000000071 _____ C:\Users\Антон\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-08 03:42 - 2019-05-08 03:42 - 000000071 _____ C:\Users\Антон\AppData\README.txt
    2019-05-08 03:42 - 2019-05-08 03:42 - 000000071 _____ C:\Users\README.txt
    2019-05-08 03:41 - 2019-05-08 03:41 - 000000071 _____ C:\Users\Антон\AppData\LocalLow\README.txt
    2019-05-08 03:41 - 2019-05-08 03:41 - 000000071 _____ C:\Users\Антон\AppData\Local\README.txt
    2019-05-08 03:37 - 2019-05-08 03:42 - 000001302 _____ C:\Users\Все пользователи\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4067288877-98106752863863944328609.fname-README.txt.doubleoffset
    2019-05-08 03:37 - 2019-05-08 03:42 - 000001302 _____ C:\ProgramData\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4067288877-98106752863863944328609.fname-README.txt.doubleoffset
    2019-05-08 03:37 - 2019-05-08 03:42 - 000000071 _____ C:\Users\Все пользователи\README.txt
    2019-05-08 03:37 - 2019-05-08 03:42 - 000000071 _____ C:\ProgramData\README.txt
    2019-05-08 03:37 - 2019-05-08 03:41 - 000001302 _____ C:\Users\Антон\AppData\Local\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4067288877-98106752863863944328609.fname-README.txt.doubleoffset
    2019-05-08 03:37 - 2019-05-08 03:37 - 000001302 _____ C:\Users\Public\Documents\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-4067288877-98106752863863944328609.fname-README.txt.doubleoffset
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Антон\AppData\Local\Apps\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Администратор\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Администратор\Downloads\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Администратор\Documents\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Администратор\Desktop\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Администратор\AppData\Roaming\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Администратор\AppData\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Администратор\AppData\Local\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Public\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Public\Downloads\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Public\Documents\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\elcouser\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\elcouser\Downloads\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\elcouser\Documents\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\elcouser\Desktop\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\elcouser\AppData\Roaming\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\elcouser\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\elcouser\AppData\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\elcouser\AppData\LocalLow\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\elcouser\AppData\Local\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\DefaultAppPool\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\DefaultAppPool\Downloads\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\DefaultAppPool\Documents\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\DefaultAppPool\Desktop\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\DefaultAppPool\AppData\Roaming\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\DefaultAppPool\AppData\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\DefaultAppPool\AppData\LocalLow\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\DefaultAppPool\AppData\Local\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default\Downloads\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default\Documents\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default\Desktop\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default\AppData\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default\AppData\Local\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default.migrated\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default.migrated\Documents\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default.migrated\AppData\Roaming\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default.migrated\AppData\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default.migrated\AppData\Local\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default User\Downloads\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default User\Documents\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default User\Desktop\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default User\AppData\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\dav\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\dav\Downloads\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\dav\Documents\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\dav\Desktop\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\dav\AppData\Roaming\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\dav\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\dav\AppData\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\dav\AppData\LocalLow\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\dav\AppData\Local\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\acp2\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\acp2\Downloads\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\acp2\Documents\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\acp2\Desktop\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\acp2\AppData\Roaming\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\acp2\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\acp2\AppData\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\Users\acp2\AppData\LocalLow\README.txt
    2019-05-08 03:37 - 2019-05-08 03:37 - 000000071 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-05-08 03:36 - 2019-05-08 03:36 - 000000071 _____ C:\Users\acp2\AppData\Local\README.txt
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Выполнил
 

Вложения

  • Fixlog.txt
    22.1 KB · Просмотры: 1
Информация по расшифровке отправлена в ЛС.
 
Спасибо! Все успешно расшифровалось.
Что можете посоветовать в плане защиты, чтобы в ближайшее время не наступить на те же грабли?
Судя по п.1 рекомендованных действий, шифровальщик распространяется через RDP?
И похоже пора и дома переходить на Linux.
 
Что можете посоветовать в плане защиты, чтобы в ближайшее время не наступить на те же грабли?
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Лог SecurityCheck
 

Вложения

  • SecurityCheck.txt
    12.9 KB · Просмотры: 2
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен (Уровень 2) - рекомендуется Уровень 3
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader v.6.1.5.624 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
KeePass Password Safe 2.39.1 v.2.39.1 Внимание! Скачать обновления
LibreOffice 6.0.2.1 v.6.0.2.1 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.20513.0 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
7-Zip 18.05 (x64) v.18.05 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
---------------------------- [ ProxyAndVPNs ] -----------------------------
Outline Beta 1.0.2 (only current user) v.1.0.2 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.1.8.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
Zona Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------------- [ SPY ] ---------------------------------
TightVNC v.2.8.5.0 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 40 v.8.0.400 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u211-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.3.8.0.870 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 58.0.3135.132 v.58.0.3135.132 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.0.5.0038 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
UmmyVideoDownloader v.1.8.3.3 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


Windows Defender (включен и обновлен) - только базовая защита. Рекомендуем установить сторонний антивирус.

Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу