• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Расшифровка после email-nightmare666@cock.li

alkane

Новый пользователь
Сообщения
10
Реакции
0
Сегодня утром на серваки грохнулись все доки. шифровальщик вот эта тварь - email-nightmare666@cock.li. просят ясен красен денег. многоуважаемые господа, прошу помощи.
 
Пароли на RDP меняйте.
 
Пароли поменял. и обнаружил, что появился какой то пользователь sys
rite to nightmare666@cock.li or telegram account @helprestore
это из файла README
 

Вложения

  • Addition.txt
    28.5 KB · Просмотры: 2
  • FRST.txt
    72.2 KB · Просмотры: 4
  • Shortcut.txt
    54.7 KB · Просмотры: 0
Грохнул пользователя. как данные расшифровать?
 
Мы пока всё ещё ждем логи по правилам.
 
И файлы прикрепите зашифрованные для подбора.
 
Зашифрованный файл
 

Вложения

  • email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-ActWriteOffShop.xml.rar
    3.5 KB · Просмотры: 2
@alkane, почему вы читаете "через строку"?
Мы третий раз просим собрать и прикрепить отчёты по правилам. Нужно запустить Autologger и дождаться завершения. Не сложно ведь.
 
Сделал
 

Вложения

  • CollectionLog-2019.06.20-11.17.zip
    60.5 KB · Просмотры: 2
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    File: C:\ProgramData\Microsoft\WwanSvc\tps.exe
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Готово
 

Вложения

  • Fixlog.txt
    631 байт · Просмотры: 3
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    (Microsoft Corporation) [File not signed] C:\ProgramData\Microsoft\WwanSvc\tps.exe
    C:\ProgramData\Microsoft\WwanSvc\tps.exe
    R2 Java; C:\ProgramData\Microsoft\WwanSvc\tps.exe [263680 2018-05-28] (Microsoft Corporation) [File not signed] <==== ATTENTION
    2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\Users\USER\README.txt
    2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\Users\USER\Downloads\README.txt
    2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\Users\USER\Documents\README.txt
    2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\Users\USER\Desktop\README.txt
    2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\Users\USER\AppData\Roaming\README.txt
    2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\Users\USER\AppData\README.txt
    2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\Users\USER\AppData\LocalLow\README.txt
    2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\Users\README.txt
    2019-06-09 18:58 - 2019-06-09 18:58 - 000000082 _____ C:\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\USER\AppData\Local\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\sys\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\sys\Downloads\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\sys\Documents\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\sys\Desktop\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\sys\AppData\Roaming\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\sys\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\sys\AppData\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\sys\AppData\LocalLow\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\sys\AppData\Local\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Public\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Public\Downloads\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default\Downloads\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default\Documents\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default\Desktop\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default\AppData\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default\AppData\Local\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default User\Documents\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default User\AppData\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\alkane\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\alkane\Downloads\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\alkane\Documents\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\alkane\Desktop\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\alkane\AppData\Roaming\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\alkane\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\alkane\AppData\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\alkane\AppData\LocalLow\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\Users\alkane\AppData\Local\README.txt
    2019-06-09 18:57 - 2019-06-09 18:57 - 000000082 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 18:56 - 2019-06-09 18:57 - 000001279 _____ C:\Users\Все пользователи\README.txt
    2019-06-09 18:56 - 2019-06-09 18:57 - 000001279 _____ C:\Users\Все пользователи\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 18:56 - 2019-06-09 18:57 - 000001279 _____ C:\Users\Public\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 18:56 - 2019-06-09 18:57 - 000001279 _____ C:\Users\Public\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 18:56 - 2019-06-09 18:57 - 000001279 _____ C:\ProgramData\README.txt
    2019-06-09 18:56 - 2019-06-09 18:57 - 000001279 _____ C:\ProgramData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 18:56 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Public\Documents\README.txt
    2019-06-09 18:56 - 2019-06-09 18:57 - 000000082 _____ C:\Users\Public\Desktop\README.txt
    2019-06-09 18:56 - 2019-06-09 18:56 - 000000082 _____ C:\Program Files (x86)\README.txt
    2019-06-09 18:52 - 2019-06-09 18:52 - 000000082 _____ C:\Program Files\README.txt
    2019-06-09 18:51 - 2019-06-09 18:57 - 000001279 _____ C:\Users\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 18:51 - 2019-06-09 18:51 - 000000082 _____ C:\Program Files\Common Files\README.txt
    2019-06-09 18:49 - 2019-06-07 04:18 - 000471552 _____ C:\Users\USER\Downloads\tosenderbuild.exe
    2019-06-08 21:56 - 2019-06-09 18:57 - 000000000 ____D C:\Users\sys\AppData\Roaming\Process Hacker 2
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
2ой лог
из какого бекапа? не делались резервные копии
 

Вложения

  • Fixlog.txt
    10.7 KB · Просмотры: 1
не делались резервные копии
Плохо.
Была небольшая возможность восстановить, но если б вы не "лечили" систему самостоятельно.

На будущее проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Готово
 

Вложения

  • SecurityCheck.txt
    11.9 KB · Просмотры: 3
Назад
Сверху Снизу