• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Шифровальщик openpgp@foxmail.com

Vadimcorp

Новый пользователь
Сообщения
4
Реакции
0
Здравствуйте. Сегодня поймали шифровальщик. Нужна срочная помощь, т.к. оказываем поддержку нуждающимся и как раз завтра необходима информация, которая зашифрована.
Спасибо.
 

Вложения

Это Dharma (.cezar Family), для этого вымогателя пока нет способа дешифровки данных.
 
Система под переустановку или чистим? В логах шифровальщик висит в автозапуске.
 
Систему можно переустановить. Главное данные восстановить (они на другом диске, не на загрузочном), если можно.
Спасибо.
 
Нет, увы. Что-то сделать можно с БД 1с, остальное без ключа преступников не расшифровать.
 
 
Да уж, вот попали...
Да, так и есть. Если еще не переустановили систему, пролечим. Смените пароли на RDP и проверьте список пользователей на предмет новых администраторов.

Политики на системе настраивали? Если нет, то добавьте строки ниже в скрипт
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Windows\system32\1pgp.exe;
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-07-07] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-07-07] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-07-07] () [File not signed]
    Startup: C:\Users\vf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-07-06] () [File not signed]
    Startup: C:\Users\vf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-07-06] () [File not signed]
    Startup: C:\Users\vvadim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-07-07] () [File not signed]
    Startup: C:\Users\vvadim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-07-07] () [File not signed]
    HKLM\...\Run: [C:\Users\vf\AppData\Roaming\Info.hta] => C:\Users\vf\AppData\Roaming\Info.hta [13922 2020-07-06] () [File not signed]
    HKLM\...\Run: [C:\Users\vvadim\AppData\Roaming\Info.hta] => C:\Users\vvadim\AppData\Roaming\Info.hta [13922 2020-07-07] () [File not signed]
    Toolbar: HKU\S-1-5-21-3027004047-1011466507-4169368184-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
    2020-07-06 21:50 - 2020-07-07 01:00 - 000013922 _____ C:\Users\vvadim\AppData\Roaming\Info.hta
    2020-07-06 21:50 - 2020-07-07 01:00 - 000000172 _____ C:\Users\vvadim\Desktop\FILES ENCRYPTED.txt
    2020-07-06 16:03 - 2020-07-07 01:00 - 000013922 _____ C:\Windows\system32\Info.hta
    2020-07-06 16:03 - 2020-07-07 01:00 - 000000172 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
    2020-07-06 16:03 - 2020-07-07 01:00 - 000000172 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2020-07-06 16:03 - 2020-07-07 01:00 - 000000172 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2020-07-06 16:03 - 2020-07-07 01:00 - 000000172 _____ C:\FILES ENCRYPTED.txt
    2020-07-06 16:03 - 2020-07-06 16:03 - 000013922 _____ C:\Users\vf\AppData\Roaming\Info.hta
    2020-07-06 16:03 - 2020-07-06 16:03 - 000000172 _____ C:\Users\vf\Desktop\FILES ENCRYPTED.txt
    2020-07-06 16:00 - 2020-07-07 01:00 - 000094720 _____ C:\Windows\system32\1pgp.exe
    2020-07-06 21:50 - 2020-07-06 21:50 - 000094720 _____ () C:\Users\vvadim\AppData\Roaming\1pgp.exe
    2020-07-06 21:50 - 2020-07-07 01:00 - 000013922 _____ () C:\Users\vvadim\AppData\Roaming\Info.hta
    ContextMenuHandlers6: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll -> No File
    ContextMenuHandlers6: [ESET Security Shell] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => C:\Program Files\ESET\ESET Security\shellExt.dll -> No File
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll -> No File
    ContextMenuHandlers1: [ESET Security Shell] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => C:\Program Files\ESET\ESET Security\shellExt.dll -> No File
    ContextMenuHandlers2: [ESET Security Shell] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => C:\Program Files\ESET\ESET Security\shellExt.dll -> No File
    ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll -> No File
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    FirewallRules: [{65F8552C-AEA8-45FB-842A-C6604FE963B3}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe => No File
    FirewallRules: [{CDE91C66-2C13-4080-B78E-3D64FF44EA0E}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => No File
    FirewallRules: [{41BFDD17-347D-48A3-AEB5-1D1C8DEFD4D3}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => No File
    FirewallRules: [{96479DEF-73C7-4A11-BA27-4D8B178EE23B}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => No File
    FirewallRules: [{0C088AF6-01F4-49C0-A5B0-BF1858128E96}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Назад
Сверху Снизу