• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. прошу помощи в решение расшифровки вируса-шифровальщика email-3nity@tuta.io.ver-CS 1.6.id-.fname

Статус
В этой теме нельзя размещать новые ответы.
K

krik

Новый пользователь
Сообщения
19
Реакции
0
прошу помощи в решение расшифровки вируса-шифровальщика email-3nity@tuta.io.ver-CS 1.6.id-.fname
 

Вложения

  • CollectionLog-2019.06.28-10.26.zip
    40.6 KB · Просмотры: 3
  • email-3nity@tuta.io.ver-CS 1.6.id-.fname-WINCMD.INC.rar
    7.7 KB · Просмотры: 2
Последнее редактирование:
Сервер не перезагружался после запуска шифровальщика?
 
нет и там программа открыта по шифрованию я ее не закрывал
 
Выполните скрипт в AVZ из папки Autologger
Код: 
begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\Администратор\desktop\manual.exe');
 DeleteFile('c:\users\Администратор\desktop\manual.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 
в лс тоже отправил
 

Вложения

  • CollectionLog-2019.06.28-12.51.zip
    41 KB · Просмотры: 2
Вы скрипт лечения почему не выполнили? Перезагрузку тоже нужно сделать.
 
лечение не делали (готовим новый винт с новой ос чтобы можно было что то скопировать)
 
Я правильно понимаю, что зашифрованная система будет переустанавливаться, а шифрованные файлы будут перенесены на нее?
 
новая система , скопируем только файлы после расшифровки. смысла нету копировать зашифрованные файлы?
старый винт пока не трогаем
 
от 10 символов на пользователях и 20 символов на администраторе ,понять бы как они это сделали
 
Вполне возможно используется недавно закрытая, если не ошибаюсь, уязвимость протокола RDP.

krik написал(а):
новая система
Нажмите для раскрытия...
тогда хотя бы процесс шифратора убейте в диспетчере задач, а сам файл удалите.

Проверьте ЛС.
 
krik написал(а):
от 10 символов на пользователях и 20 символов на администраторе ,понять бы как они это сделали
Нажмите для раскрытия...
Не менее 14 символов + цифры + спецсимволы + большие и маленькие буквы!.
+
Все обновления Windows
+
Желательно пускать на RDP только через VPN и/или по сертификату, ну или 2ФА по звонку или СМС.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу