• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Расшифровать после [omegawatch@protonmail.com][1618977787-1588521390]

olegkan

Новый пользователь
Сообщения
3
Реакции
0
Злоумышленник удалил под учеткой админа антивирус, потом видимо запустил шифровальщик который шифрует файл и добавляет к его имени: [omegawatch@protonmail.com][1618977787-1588521390], и случайное расширение. Когда я это обнаружил установил антивирус drWeb он шифровальщик нашел удалил в карантин, извлек его из карантина и запаковал для вас в архив. Логи тоже вложил и пару зашифрованных файлов тоже.
 

Вложения

  • shifrov-trebov.zip
    1.4 MB · Просмотры: 2
  • logy.zip
    22.1 KB · Просмотры: 2
Последнее редактирование:
Взломали через уязвимость или простой пароль RDP, по поводу расшифровки подождите ответа @thyrex
 
Система под переустановку или будем чистить?
 
наверное взломали через простой пароль RDP. Систему переустанавливливать не планирую, антивирусом прогнал вроде нет вируса
 
Политики сами настраивали?
GroupPolicy: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    HKLM-x32\...\Run: [1184860] => 1184860
    Task: {1360C0EF-CA00-4257-8AC8-A7DADC2EEAB7} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
    Task: {45163A06-2EB6-4987-A5DD-4F8C01ED55C8} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE
    2020-05-03 17:10 - 2020-05-03 17:10 - 000000095 _____ C:\Users\user\README.txt
    2020-05-03 17:10 - 2020-05-03 17:10 - 000000095 _____ C:\Users\user\Desktop\README.txt
    2020-05-03 17:10 - 2020-05-03 17:10 - 000000095 _____ C:\Users\user\AppData\Roaming\README.txt
    2020-05-03 17:10 - 2020-05-03 17:10 - 000000095 _____ C:\Users\user\AppData\README.txt
    2020-05-03 17:05 - 2020-05-03 17:05 - 000000095 _____ C:\Users\user\AppData\LocalLow\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\scan\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\scan\Downloads\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\scan\Desktop\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\scan\AppData\Roaming\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\scan\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\scan\AppData\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\scan\AppData\LocalLow\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Public\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Public\Downloads\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default\Downloads\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default\Desktop\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default\AppData\Roaming\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default\AppData\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default User\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default User\Downloads\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default User\Desktop\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default User\AppData\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\BUH2-HP-user\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\BUH2-HP-user\AppData\Roaming\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\BUH2-HP-user\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\BUH2-HP-user\AppData\README.txt
    2020-05-03 16:26 - 2020-05-03 16:26 - 000000095 _____ C:\Users\BUH2-HP-user\AppData\LocalLow\README.txt
    2020-05-03 16:00 - 2020-05-03 16:00 - 000000095 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2020-05-03 15:59 - 2020-05-03 15:59 - 000000095 _____ C:\Users\Все пользователи\Desktop\README.txt
    2020-05-03 15:59 - 2020-05-03 15:59 - 000000095 _____ C:\Users\Public\Desktop\README.txt
    2020-05-03 15:59 - 2020-05-03 15:59 - 000000095 _____ C:\ProgramData\Desktop\README.txt
    2020-05-03 15:58 - 2020-05-03 15:58 - 000000095 _____ C:\Users\Все пользователи\README.txt
    2020-05-03 15:58 - 2020-05-03 15:58 - 000000095 _____ C:\Users\admin\README.txt
    2020-05-03 15:58 - 2020-05-03 15:58 - 000000095 _____ C:\Users\admin\Downloads\README.txt
    2020-05-03 15:58 - 2020-05-03 15:58 - 000000095 _____ C:\Users\admin\Desktop\README.txt
    2020-05-03 15:58 - 2020-05-03 15:58 - 000000095 _____ C:\Users\admin\AppData\Roaming\README.txt
    2020-05-03 15:58 - 2020-05-03 15:58 - 000000095 _____ C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-05-03 15:58 - 2020-05-03 15:58 - 000000095 _____ C:\Users\admin\AppData\README.txt
    2020-05-03 15:58 - 2020-05-03 15:58 - 000000095 _____ C:\Users\admin\AppData\LocalLow\README.txt
    2020-05-03 15:58 - 2020-05-03 15:58 - 000000095 _____ C:\ProgramData\README.txt
    2020-05-03 17:10 - 2020-05-03 17:10 - 000000095 _____ () C:\Users\user\AppData\Roaming\README.txt
    2020-05-03 17:06 - 2020-05-03 17:06 - 000000095 _____ () C:\Users\user\AppData\Roaming\Microsoft\README.txt
    2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ () C:\Users\user\AppData\Local\README.txt
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Все администраторы ваши?
Administrator (S-1-5-21-2923885204-2196493748-1802181408-1000 - Administrator - Enabled) => C:\Users\user
Администратор (S-1-5-21-2923885204-2196493748-1802181408-500 - Administrator - Disabled)

Windows Firewall is disabled. - стоит включить, или так задумано?
 
Версия 1.8 без шансов на данный момент. Простой брут будет нерационален по временным затратам.
 
..
Administrator (S-1-5-21-2923885204-2196493748-1802181408-1000 - Administrator - Enabled) => C:\Users\user
Администратор (S-1-5-21-2923885204-2196493748-1802181408-500 - Administrator - Disabled)
Windows Firewall is disabled. - стоит включить, или так задумано?
Да это свои администраторы, Файрвол Виндоус выключен потому что установлен ДрВеб и там включен его брандмауэр.
Скрипт я забыл перед запуском в файл сохранить и запустил так, и потом уже после перезагрузки сохранил текст скрипта и запустил повторно...
 

Вложения

  • Fixlog.txt
    9.5 KB · Просмотры: 1
Второй раз запускать не нужно было ) На этом все, чем можно помочь.

Подготовьте лог SecurityCheck by glax24


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Для правильного удаления Farbar Recovery Scan Tool переименуйте исполняемый файл FRST64.exe (или FRST.exe) в Uninstall.exe. Запустите файл Uninstall.exe. Появится уведомление о необходимости перезагрузить систему для окончательного удаления Farbar Recovery Scan Tool.


 
Назад
Сверху Снизу