• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Расшифровка файлов email-nightmare666@cock.li.ver-CL 1.5.1.0.id

Статус
В этой теме нельзя размещать новые ответы.

SHTUser

Новый пользователь
Сообщения
9
Реакции
0
Сегодня ночью файлы на одном из компьютеров были зашифрованы шифровальщиком, оставляющим в имени файла название "email-nightmare666@cock.li.ver-CL 1.5.1.0.id".
Прошу помощи в расшифровке файлов.
Прикреплены два архива - один с зашифрованными файлами с запиской от кодировщика и архив с логами.
 

Вложения

  • Encoded files.zip
    26.9 KB · Просмотры: 0
  • CollectionLog-2019.06.18-09.58.zip
    57.4 KB · Просмотры: 3
Извините, запостил в не тот раздел. Перенесите, пожалуйста, тему в раздел "Помощь в расшифровке файлов"
 
Здравствуйте!

Сразу предупрежу: расшифровки этой версии вымогателя скорее всего нет.
Будет лечение системы и очистка.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\user14\AppData\Local\Temp\VWWYABBCDE.exe', '');
 QuarantineFile('C:\Users\user16\AppData\Local\Temp\JKKLNOPQRS.exe', '');
 DeleteFile('C:\Users\user14\AppData\Local\Temp\VWWYABBCDE.exe', '32');
 DeleteFile('C:\Users\user16\AppData\Local\Temp\JKKLNOPQRS.exe', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-3748994989-1004274494-2084532083-1016\Software\Microsoft\Windows\CurrentVersion\Run', '3358150663', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-3748994989-1004274494-2084532083-1018\Software\Microsoft\Windows\CurrentVersion\Run', '3358150663', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Прикрепите к следующему сообщению свежий CollectionLog.
 
Скрипт в AVZ выполнил, а так же загрузил файл катарантина quarantine.7z - принят как файл 2019.06.18_quarantine_90f1616366e34a7ee4261ae0341ce239.7z
Прилагаю свежий CollectionLog
 

Вложения

  • CollectionLog-2019.06.18-10.42.zip
    38.4 KB · Просмотры: 1
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Прилагаю отчеты сканирования Farbar Recovery Scan Tool
 

Вложения

  • FRST.txt
    46 KB · Просмотры: 1
  • Addition.txt
    28.3 KB · Просмотры: 1
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    2019-06-18 01:10 - 2019-06-18 01:10 - 000001322 _____ C:\Users\user16\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-3358150663-136249432303892526176919.fname-README.txt.doubleoffset
    2019-06-18 01:10 - 2019-06-18 01:10 - 000000090 _____ C:\Users\user16\README.txt
    2019-06-18 01:10 - 2019-06-18 01:10 - 000000090 _____ C:\Users\user16\Downloads\README.txt
    2019-06-18 01:10 - 2019-06-18 01:10 - 000000090 _____ C:\Users\user16\Documents\README.txt
    2019-06-18 01:10 - 2019-06-18 01:10 - 000000090 _____ C:\Users\user16\Desktop\README.txt
    2019-06-18 01:10 - 2019-06-18 01:10 - 000000090 _____ C:\Users\user16\AppData\Roaming\README.txt
    2019-06-18 01:10 - 2019-06-18 01:10 - 000000090 _____ C:\Users\user16\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-18 01:10 - 2019-06-18 01:10 - 000000090 _____ C:\Users\user16\AppData\README.txt
    2019-06-18 01:10 - 2019-06-18 01:10 - 000000090 _____ C:\Users\user16\AppData\LocalLow\README.txt
    2019-06-18 01:09 - 2019-06-18 01:09 - 000000090 _____ C:\Users\user16\AppData\Local\README.txt
    2019-06-18 01:09 - 2019-06-18 01:09 - 000000011 _____ C:\Users\user19\Desktop\DesktopLocker.ini
    2019-06-18 01:09 - 2019-04-25 00:19 - 000279303 _____ C:\Users\user19\Desktop\Desktop_Locker.exe
    2019-06-18 01:07 - 2019-06-18 01:10 - 000001285 _____ C:\Users\user16\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-3358150663-136249432303892526176919.fname-DesktopLocker.ini.doubleoffset
    2019-06-18 01:07 - 2019-04-25 00:19 - 000279303 _____ C:\Users\user16\Desktop\Desktop_Locker.exe
    2019-06-18 01:04 - 2019-06-18 01:04 - 000000011 _____ C:\Users\user14\Desktop\DesktopLocker.ini
    2019-06-18 01:04 - 2019-04-25 00:19 - 000279303 _____ C:\Users\user14\Desktop\Desktop_Locker.exe
    2019-06-18 00:43 - 2019-06-18 01:09 - 000001322 _____ C:\Users\Все пользователи\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-3358150663-136249432303892526176919.fname-README.txt.doubleoffset
    2019-06-18 00:43 - 2019-06-18 01:09 - 000001322 _____ C:\Users\Public\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-3358150663-136249432303892526176919.fname-README.txt.doubleoffset
    2019-06-18 00:43 - 2019-06-18 01:09 - 000001322 _____ C:\Users\Public\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-3358150663-136249432303892526176919.fname-README.txt.doubleoffset
    2019-06-18 00:43 - 2019-06-18 01:09 - 000001322 _____ C:\Users\Public\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-3358150663-136249432303892526176919.fname-README.txt.doubleoffset
    2019-06-18 00:43 - 2019-06-18 01:09 - 000001322 _____ C:\ProgramData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-3358150663-136249432303892526176919.fname-README.txt.doubleoffset
    2019-06-18 00:43 - 2019-06-18 01:09 - 000000090 _____ C:\Users\Public\README.txt
    2019-06-18 00:43 - 2019-06-18 01:09 - 000000090 _____ C:\Users\Public\Downloads\README.txt
    2019-06-18 00:43 - 2019-06-18 01:09 - 000000090 _____ C:\Users\Public\Documents\README.txt
    2019-06-18 00:43 - 2019-06-18 00:44 - 000001321 _____ C:\Users\user14\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-3358150663-99826423610241112378399.fname-README.txt.doubleoffset
    2019-06-18 00:43 - 2019-06-18 00:44 - 000000090 _____ C:\Users\user14\Desktop\README.txt
    2019-06-18 00:43 - 2019-06-18 00:43 - 000001321 _____ C:\Users\Все пользователи\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-3358150663-99826423610241112378399.fname-README.txt.doubleoffset
    2019-06-18 00:43 - 2019-06-18 00:43 - 000001321 _____ C:\Users\Public\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-3358150663-99826423610241112378399.fname-README.txt.doubleoffset
    2019-06-18 00:43 - 2019-06-18 00:43 - 000001321 _____ C:\ProgramData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-3358150663-99826423610241112378399.fname-README.txt.doubleoffset
    2019-06-18 00:43 - 2019-06-18 00:43 - 000000090 _____ C:\Users\Все пользователи\README.txt
    2019-06-18 00:43 - 2019-06-18 00:43 - 000000090 _____ C:\Users\user14\README.txt
    2019-06-18 00:43 - 2019-06-18 00:43 - 000000090 _____ C:\Users\user14\Downloads\README.txt
    2019-06-18 00:43 - 2019-06-18 00:43 - 000000090 _____ C:\Users\user14\Documents\README.txt
    2019-06-18 00:43 - 2019-06-18 00:43 - 000000090 _____ C:\Users\user14\AppData\Roaming\README.txt
    2019-06-18 00:43 - 2019-06-18 00:43 - 000000090 _____ C:\Users\user14\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-18 00:43 - 2019-06-18 00:43 - 000000090 _____ C:\Users\user14\AppData\README.txt
    2019-06-18 00:43 - 2019-06-18 00:43 - 000000090 _____ C:\Users\user14\AppData\LocalLow\README.txt
    2019-06-18 00:43 - 2019-06-18 00:43 - 000000090 _____ C:\Users\user14\AppData\Local\README.txt
    2019-06-18 00:43 - 2019-06-18 00:43 - 000000090 _____ C:\ProgramData\README.txt
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Программа удалённого доступа AmmyyAdmin вам известна? Пользуетесь?
Пароль на RDP смените.
 
Прилагаю лог FRST после отработки Fix.
AmmyyAdmin использую, сейчас ее отключил вместе со службой. Пароли на RDP изменил.
 

Вложения

  • Fixlog.txt
    9 KB · Просмотры: 1
Подберите пару файлов для анализа, зашифрованный и оригинальный.
 
Подобрал две разные пары таких файлов (на всякий пожарный). В каждом архиве есть оригинальный файл и зашифрованный.
 

Вложения

  • 1 пара файлов.7z
    27 KB · Просмотры: 1
  • 2 пара файлов.7z
    23 KB · Просмотры: 0
Проверьте ЛС
 
Большое спасибо за Ваш труд, результат стоил ожидания!
 
В завершение:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Прилагаю файл лога SecurityCheck.txt
 

Вложения

  • SecurityCheck.txt
    8.7 KB · Просмотры: 3
Всё перечисленное желательно исправить:
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен (Уровень 3)
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4503292 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.10411.0 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
7-Zip 18.05 v.18.05 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 67.0.2 (x86 ru) v.67.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mesh v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.


Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу