• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Шифровальщик anilorak@onionmail.org

L

lyasik

Новый пользователь
Сообщения
4
Реакции
0
Добрый день. У меня аналогичная проблема, как у этого автора
Прикрепляю необходимые файлы (virus.zip - пароль "virus")
 

Вложения

Здравствуйте!

Это N3ww4v3 Ransomware. Расшифровки нет, к сожалению.
Систему чистим или планируете переустановку?
 
Спасибо за ответ. Систему будем переустаналивать.
Файлы очень важны, возможно ли связаться со злоумышленником, или этот вариант лучше не рассматривать?
 
Мы это не советуем.
Во-первых, никаких гарантий, что после оплаты выкупа вы получите расшифровку.
Во-вторых, тем самым вы их стимулируете для дальнейшей "работы".

Посмотрите эту тему:
www.safezone.cc

Защита от мошенников в интернете

Поймал за руку мошенника? Расскажи об этом сообществу.
www.safezone.cc www.safezone.cc

И эту тоже не помешает:
safezone.cc

Восстановление баз данных 1С и Mssql данных после атаки шифратора

Уважаемые пользователи. Проект S.lab предоставляет платные услуги по восстановлению баз данных (1С7, 1C8 и MSSQL) после атаки шифровальщика. Стоимость услуги варьируется от 14т.р до 30т.р за одну базу в зависимости от сложности работ. Проверка и оплата: Оплата проводится по факту выполненных...
safezone.cc safezone.cc
 
Благодарю за информацию. Тогда прошу дать еще совет по очистке системы
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Run: [tvncontrol] => "C:\Program Files\TightVNC\tvnserver.exe" -controlservice -slave (Нет файла)
HKLM\...\Run: [Anilorak.exe] => C:\Users\FreshPlants\AppData\Local\Anilorak_Decryption.txt [2180 2023-06-13] () [Файл не подписан]
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption]  
HKLM\...\Policies\system: [legalnoticetext] ￐゚￐ᅠ￐リ￐メ￐ユ￐ᄁ, ￐ワ￐゙￐ル ￐ヤ￐゙￐ᅠ￐゙￐モ￐゙￐ル ￐ᄂ￐ミ￐ン￐ミ￐ᄁ! ￐ᄁ￐メ￐゙￐リ ￐ᄂ￐ミ￐ル￐ロ￐ᆱ ￐ラ￐ミ￐ᄄ￐リ￐ᄂ￐ᅠ￐゙￐メ￐ミ￐ン￐ᆱ!!!
HKU\S-1-5-21-1022998862-4074570325-2973188656-1002\...\MountPoints2: {c7352ecb-efbb-11eb-8fcc-7085c25629ba} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1022998862-4074570325-2973188656-1003\...\MountPoints2: {c7352ecb-efbb-11eb-8fcc-7085c25629ba} - "E:\HiSuiteDownLoader.exe" 
IFEO\agntsvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\windows\System32\Systray.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\TrayIt!.lnk [2018-02-02]
ShortcutTarget: TrayIt!.lnk -> C:\cdb\TrayIt!.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {2F3E6AC8-66F2-41D8-8F26-64E5AAE8FFCE} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.85 Online" "1518081086059" "d8cd3db0-fefb-4fcf-8d22-270546b8b9ee"
Task: {2F3E6AC8-66F2-41D8-8F26-64E5AAE8FFCE} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
2023-06-13 18:43 - 2023-06-13 18:43 - 000002180 _____ C:\Users\FreshPlants\Desktop\Anilorak_Decryption.txt
2023-06-13 18:17 - 2023-06-13 18:41 - 000002180 _____ () C:\Users\FreshPlants\AppData\Local\Anilorak_Decryption.txt
AV: Avast Antivirus (Disabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}
AS: Avast Antivirus (Disabled - Up to date) {35C973AA-9ABB-D3CA-B100-B0DC0E5F2402}
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
HKU\S-1-5-21-1022998862-4074570325-2973188656-1002\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
FirewallRules: [{E4D7DE2B-7F97-4CCC-A1BA-C5C5DD1E9B82}] => (Allow) LPort=5357
FirewallRules: [{766898E7-08C0-41C6-86B8-3EFD7897A5B1}] => (Allow) C:\Program Files\TightVNC\tvnserver.exe => Нет файла
FirewallRules: [{49505468-BBED-451D-A918-571D8CDD1038}] => (Allow) LPort=3389
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Прикрепляю fixlog.txt
Подскажите пожалуйста порядок действий на зараженном компьютере - все таки будем переустанавливать систему.
И на остальных компьютерах в сети - обнаружил зараженные файлы в открытой сетевой папке на другом компьютере.
 

Вложения

Если вы заранее планировали переустановку системы, зачем же мы тратили время на составление скрипта?

На других, если только в сетевой папке, не страшно.
Меняйте пароли на учётные записи администраторов пострадавшей машины и на доступ по сети.

Подключение по RDP, если необходимо, обязательно прячьте за VPN.
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

О
  • Закрыта
Закрыто шифровальщик anilorak onionmail.org
Ответы
4
Просмотры
959
Sandor
Sandor
K
Решена с расшифровкой. Шифровальщик crylock 2 [honestandhope@qq.com]
Ответы
7
Просмотры
455
Sandor
Sandor
cielinfo
Решена без расшифровки Помогите расшифровать шифровальщик deep
Ответы
9
Просмотры
611
akok
akok
Назад
Сверху Снизу