• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Родственники попались на шифратора "Риба"

Статус
В этой теме нельзя размещать новые ответы.

Moxito

Вечная память
Сообщения
421
Реакции
41
Здравствуйте!
На рабочем столе им передали файл Riba.cmd. Они открыли, был запрос адм. прав, они приняли. АВ был защитник.
Пошёл шифровать всё что мог.
Сначала как я понял по словам вылазили окна о ошибке блок. клавы и мыши.
Затем они перезапустились и успели закрыть окно кмд.
Не смогли открыть ни проводник, ни блокнот, блокнот восстановил. Остальное не в моих силах.
Как я понял скинули файл в скайп (Видимо школоло) якобы фиксер проблем, они перенесли с другого пк)
Архив zip открывается как batник.
Повреждены ассоциации. Открыть папку с загрузками не удалось - ошибка.
Открыл установщик тотал командера и запустил.
В итоге шифровальщик не успел зашифровать из-за выключения компа.
При моей попытке старта в безоп. режиме комп стартанул в обычном, возможно стоит офф на безоп. реж.
Выбивает сбщ:
WARNING!
ALL YOUR FILES ARE ENCRYPTED!
TO DECRYPT:
SEND D-MAIL TO
banda.decryptor@gmail.com
WITH TEXT
Decrypting

Свяжусь наверное с бандой декриптором для интереса

Заранее спасибо!
 

Вложения

  • CollectionLog-2019.01.17-21.11.zip
    29 KB · Просмотры: 7
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\123\Desktop\Rida.cmd', '');
 DeleteFile('C:\Users\123\Desktop\Rida.cmd', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'rundll32', '64');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(3);
 ExecuteRepair(8);
 ExecuteRepair(11);
 ExecuteRepair(17);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

Также не помешает выполнить п.2 правил этого раздела.
 
Теневые копии или программы по восстановлению данных?
 
не могу открыть папку с авз.

Cобственно блокиратор отработал, запустил сегодня ПК и теперь бесконечно закрываются приложения, безоп. режим не работает. Ничего сделать не могу.
 
Последнее редактирование модератором:
С помощью livecd восстановил безопасный режим в системе, через него выполню действия

Файлы не испортило (именно системные нет, а с другими не знаю)

Снимок.PNG


отправил
сейчас чекаю на шифрованное

Снимок.PNG


зеленые, видимо чипер

есть rida.cmd в корне диска

кстати ассоциации сбиты

Теневые копии или программы по восстановлению данных?
Все бэкапы и копии удалены вирусом
 
Последнее редактирование модератором:
лог новый
 

Вложения

  • CollectionLog-2019.01.18-18.11.zip
    27.4 KB · Просмотры: 2
Не знаю, может проще купить за 500р дешифровальщик? Т.к. особо ничего не было и они сделали скидку)
Они предупредили что ассоциации они не восстановят из-за незнания версии ОС.
 
Где образцы зашифрованных файлов?
 
Виртуальная машина у них одна и "самая важная", ведь на ней делают что-то важное, и переустанавливал недавно.
С реальной машины попро нечего брать, ни образа (удалили), ни чего либо.
Короче, сказали фиксить виртуалку из-за того что она им важная. Если надо разузнаю больше инфы. Завтра образцы
 
Последнее редактирование модератором:
Подготовьте несколько небольших зашифрованных файлов (двух будет достаточно)

А не половину виртуалки. Тем более я не нашел ни одного зашифрованного файла в архивах.
 
А не половину виртуалки. Тем более я не нашел ни одного зашифрованного файла в архивах.
скину пару зеленых файлов (чипером зашифрован, но открывается)
Оба файла в системе зеленые, чипером пошифрованы
 

Вложения

  • yupdate-exec-yabrowser ФАЙЛ ЗЕЛЕНЫЙ.rar
    199.8 KB · Просмотры: 1
  • WhatsNew.txt
    97.1 KB · Просмотры: 2
И тут все читается у меня, если читается на другой машине, то не проще скопировать данные и пересоздать виртуалку. Да и непонятно, как же моментальные снимки?
 
Таковые есть, восстановился.

Всем спасибо!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу