• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки шифровальщик email-tapok@tuta.io

Статус
В этой теме нельзя размещать новые ответы.

rusmuzhik

Новый пользователь
Сообщения
4
Реакции
0
email-tapok@tuta.io.ver-CL 1.3.1.0.id-@@@@@5A84-791F.randomname-DEEFGHHIIJKLLLMMNOPPPQRRSTTUUV.WWX


Зашифровал базы данных 1с, pdf и прочее
Есть шанс восстановить или всё плохо?
 

Вложения

Это BitCoinMiner.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - Startup other users: C:\Users\1c\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk    ->    C:\Users\Public\Downloads\start.vbs

И удалите вручную файлы которые прикрепили к архиву.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Don't Sleep 4.77 Prevent Shutdown, Stand By, Turn Off, Restart и Download Mouse Lock 2.2 - сами ставили или можно удалять?
Advanced_IP_Scanner - если не ваше, то меняйте пароли (RDP, учетные записи). Ищите откуда прилетело вредоносное ПО и что успели скомпрометировать.
Проверьте содержимое
%systemroot%\system32\silcollector.cmd
%systemroot%\system32\calluxxprovider.vbs

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal:  C:\Users\Public\Documents\update.exe;C:\Windows\SysWOW64\wininit.exe
    ShortcutTarget: start.lnk -> C:\Users\Public\Downloads\start.vbs (No File)
    2018-10-07 12:23 - 2018-07-28 12:20 - 000000396 _____ C:\Users\Public\Documents\start.bat
    2018-10-07 12:23 - 2018-07-22 21:29 - 000000296 _____ C:\Users\Public\Documents\startup.bat
    2018-10-07 12:23 - 2018-07-22 15:54 - 000000106 _____ C:\Users\Public\Documents\start.vbs
    2018-10-07 12:23 - 2018-05-07 02:24 - 001062400 _____ (www.xmrig.com) C:\Users\Public\Documents\update.exe
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 ___SH C:\Users\Public\Downloads\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Все пользователи\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Public\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\Downloads\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\Documents\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\Desktop\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\AppData\Roaming\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\AppData\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\AppData\Local\Temp\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\Downloads\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\Documents\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\Desktop\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\AppData\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\AppData\Local\Temp\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\Downloads\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\Documents\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\Desktop\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\AppData\Roaming\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\AppData\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\AppData\LocalLow\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\AppData\Local\Temp\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\ProgramData\README.txt
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    C:\Users\1c\AppData\Local\Temp\2\STTTVVWXXX.exe
    C:\Users\1c\Desktop\my.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Судя по логам запуск был от учетной записи 1c (S-1-5-21-782584854-797181788-476178015-1010 - Limited - Enabled) => C:\Users\1c 2018-10-06 03:55:41
 
Я буду полностью переставлять операционную систему. Это быстрее и проще
Вопрос только в расшифровке файлов. Я так понял, это невозможно.
 
Я буду полностью переставлять операционную систему. Это быстрее и проще
Так проще.

Вопрос только в расшифровке файлов. Я так понял, это невозможно.
без злоумышленников нет. Ну или в неопределенном будущем если будут захвачены ключи.
 
@rusmuzhik, еще несколько зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.
 
В архиве зашифрованные файлы и оригинал файлов
 

Вложения

  • tapok.7z
    tapok.7z
    882.7 KB · Просмотры: 2
При наличии лицензии на любой из продуктов лаборатории Касперского можете создать запрос на расшифровку здесь или здесь.
Обнадеживать не буду, может оказаться, что эта версия не поддается расшифровке.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу