• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Шифровальщик id[9E9AD794-3398].[datastore@cyberfear.com]

icer127

Новый пользователь
Сообщения
4
Реакции
0
Подскажите пожалуйста, где искать информационное письмо от них?
 
Здравствуйте!

Прочтите и выполните инструкции этого раздела.
Как правило, записка разбросана по всем папкам, в т.ч. в корне системного диска.
 
вирус нашел, но сразу по глупости его грохнул((
 

Вложения

Увы, это Phobos, расшифровки нет.

по глупости его грохнул
В логах он ещё виден.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    (explorer.exe ->) () [Файл не подписан] C:\Users\Support\Music\.cr_osn.exe <2>
    (explorer.exe ->) (voidtools -> ) C:\Users\Support\Music\Everything.exe
    HKLM\...\Run: [.cr_osn] => C:\Users\Support\AppData\Local\.cr_osn.exe [57344 2022-12-09] () [Файл не подписан]
    HKU\S-1-5-21-3925055495-2654638241-2300122864-1001\...\Run: [.cr_osn] => C:\Users\Support\AppData\Local\.cr_osn.exe [57344 2022-12-09] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.cr_osn.exe [2022-12-09] () [Файл не подписан]
    Startup: C:\Users\Support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.cr_osn.exe [2022-12-09] () [Файл не подписан]
    Task: {9E3F6D62-A855-412A-A7CB-90DE5059E62C} - System32\Tasks\RDP Wrapper Autoupdate => cmd.exe /C "C:\Program Files\RDP Wrapper\autoupdate.bat" -log <==== ВНИМАНИЕ
    R2 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2021-07-13] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    2023-01-12 14:46 - 2021-07-13 14:20 - 000000000 ____D C:\Program Files\RDP Wrapper
    2023-01-12 16:57 - 2022-12-09 09:51 - 000057344 _____ C:\Users\Support\AppData\Local\.cr_osn.exe
    AlternateDataStreams: C:\Windows\system32\Drivers\mkfhioeq.sys:changelist [300]
    FirewallRules: [{780E8108-96E6-4426-B49E-F958709E4F4C}] => (Allow) LPort=3333
    FirewallRules: [{B732EC0F-7F4D-4781-B8CE-3016B2145FDB}] => (Allow) LPort=3389
    FirewallRules: [{30F52112-963C-493F-9A6D-1FE1ADC37778}] => (Allow) LPort=4415
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Уменьшите количество администраторов (сейчас их 5) и смените пароли на админские учётки.
 
Последнее редактирование:
Удалите старые и покажите, пожалуйста, новые логи FRST.txt и Addition.txt
 
Удалите старые и покажите, пожалуйста, новые логи FRST.txt и Addition.txt
Диск отложили в надежде появления дешифратора, развернули новую операционную систему. Для информации - связался с вымогателями, требуют 4000$ с переводом в биткоины.
 
Назад
Сверху Снизу