• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Шифровальщик от gratefuldeath@protonmail.com

Статус
В этой теме нельзя размещать новые ответы.

sasha_che

Новый пользователь
Сообщения
7
Реакции
0
Добрый день!
Помогите плз. справиться с заразой. Все произошло 30 декабря 2019 г. Находился в поездке и увидел как файлы яндекс диска меняют расширение. К обычному расширению файла типа .xls добавилось
[gratefuldeath@protonmail.com][].crv
Шифровальщик сделал свое грязное дело на рабочем компьютере, который остался включенным, а яндекс диск их просто синхронизировал.
Рабочий зараженный компьютер сейчас выключен, я боюсь его включать.
Во вложении пара зашифрованных файлов и файл с требованием выкупа, а также логи после сканирования текущего ноута:
 

Вложения

Последнее редактирование:
Логи с компьютера, не являющегося источником шифрования, бесполезны.
 
Это cryakl одной из последних версий. Смените пароли на RDP. По поводу расшифровки, скорее всего не получится, но точнее ответит @thyrex.

Нужны логи с рабочей машины, чтоб ее не "включать", то можно так:

Или подготовить лог UVS через LiveCD
 
Это cryakl одной из последних версий. Смените пароли на RDP. По поводу расшифровки, скорее всего не получится, но точнее ответит @thyrex.

Нужны логи с рабочей машины, чтоб ее не "включать", то можно так:

Или подготовить лог UVS через LiveCD
Спасибо
Я вернусь домой после завтра (03.01.2019), сам сделаю логи зараженного компа и выложу в тему..
 
Добрый день!
Прикрепляю логи с зараженного компа:
 

Вложения

Судя по логам, шифровальщика уже нет в системе. Только немного мусора.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-4227394909-2453162360-3411331809-1000\...\MountPoints2: {62ad43e8-38c6-11e8-b61a-5404a63038e4} - D:\SETUP.EXE
    BHO: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> C:\Program Files\McAfee\WebAdvisor\x64\IEPlugin.dll => No File
    BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~1\MICROS~2\Office16\URLREDIR.DLL => No File
    BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_201\bin\ssv.dll => No File
    BHO-x32: CIESpeechBHO Class -> {8D10F6C4-0E01-4BD4-8601-11AC1FDF8126} -> C:\Program Files (x86)\Bluetooth Suite\IEPlugIn.dll => No File
    BHO-x32: Evernote extension -> {92EF2EAD-A7CE-4424-B0DB-499CF856608E} -> C:\Program Files (x86)\Evernote\Evernote\EvernoteIE.dll => No File
    BHO-x32: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> C:\Program Files\McAfee\WebAdvisor\win32\IEPlugin.dll => No File
    BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~2\MICROS~1\Office16\URLREDIR.DLL => No File
    BHO: Skype for Business Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files\Microsoft Office\Office16\OCHelper.dll => No File
    BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_201\bin\jp2ssv.dll => No File
    Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll No File
    Handler: mso-minsb.16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} - C:\Program Files (x86)\Microsoft Office\Office16\MSOSB.DLL No File
    Handler: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files (x86)\Microsoft Office\Office16\MSOSB.DLL No File
    Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL No File
    Filter: text/xml - {807583E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE16\MSOXMLMF.DLL No File
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL [No File]
    FF Plugin-x32: @java.com/DTPlugin,version=11.201.2 -> C:\Program Files (x86)\Java\jre1.8.0_201\bin\dtplugin\npDeployJava1.dll [No File]
    FF Plugin-x32: @java.com/JavaPlugin,version=11.201.2 -> C:\Program Files (x86)\Java\jre1.8.0_201\bin\plugin2\npjp2.dll [No File]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [No File]
    FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [No File]
    FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office16\NPSPWRAP.DLL [No File]
    FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.35.422\npGoogleUpdate3.dll [No File]
    FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.35.422\npGoogleUpdate3.dll [No File]
    FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [No File]
    FF Plugin HKU\S-1-5-21-4227394909-2453162360-3411331809-1000: @zoom.us/ZoomVideoPlugin -> C:\Users\Sasha\AppData\Roaming\Zoom\bin\npzoomplugin.dll [No File]
    FF Plugin HKU\S-1-5-21-4227394909-2453162360-3411331809-1000: bssys.com/BSSPlugin -> C:\Users\Sasha\AppData\Roaming\BSS\BSSPlugin\npBSSPlugin.dll [No File]
    2019-12-30 16:00 - 2019-12-30 16:00 - 000000110 _____ C:\Users\Инна\README.txt
    2019-12-30 16:00 - 2019-12-30 16:00 - 000000110 _____ C:\Users\Инна\Downloads\README.txt
    2019-12-30 16:00 - 2019-12-30 16:00 - 000000110 _____ C:\Users\Инна\Desktop\README.txt
    2019-12-30 16:00 - 2019-12-30 16:00 - 000000110 _____ C:\Users\Инна\AppData\Roaming\README.txt
    2019-12-30 16:00 - 2019-12-30 16:00 - 000000110 _____ C:\Users\Инна\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-12-30 16:00 - 2019-12-30 16:00 - 000000110 _____ C:\Users\Инна\AppData\README.txt
    2019-12-30 16:00 - 2019-12-30 16:00 - 000000110 _____ C:\Users\Инна\AppData\LocalLow\README.txt
    2019-12-30 16:00 - 2019-12-30 16:00 - 000000110 _____ C:\Users\Инна\AppData\Local\README.txt
    2019-12-30 16:00 - 2019-12-30 16:00 - 000000110 _____ C:\Users\Админ\README.txt
    2019-12-30 16:00 - 2019-12-30 16:00 - 000000110 _____ C:\Users\Админ\Downloads\README.txt
    2019-12-30 16:00 - 2019-12-30 16:00 - 000000110 _____ C:\Users\Админ\Desktop\README.txt
    2019-12-30 16:00 - 2019-12-30 16:00 - 000000110 _____ C:\Users\Админ\AppData\Roaming\README.txt
    2019-12-30 16:00 - 2019-12-30 16:00 - 000000110 _____ C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-12-30 16:00 - 2019-12-30 16:00 - 000000110 _____ C:\Users\Админ\AppData\README.txt
    2019-12-30 16:00 - 2019-12-30 16:00 - 000000110 _____ C:\Users\Админ\AppData\LocalLow\README.txt
    2019-12-30 16:00 - 2019-12-30 16:00 - 000000110 _____ C:\Users\Админ\AppData\Local\README.txt
    2019-12-30 16:00 - 2019-12-30 16:00 - 000000110 _____ C:\Users\Sasha\README.txt
    2019-12-30 16:00 - 2019-12-30 16:00 - 000000110 _____ C:\Users\Sasha\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-12-30 15:59 - 2019-12-30 15:59 - 000000110 _____ C:\Users\Sasha\Downloads\README.txt
    2019-12-30 15:59 - 2019-12-30 15:59 - 000000110 _____ C:\Users\Sasha\Desktop\README.txt
    2019-12-30 15:59 - 2019-12-30 15:59 - 000000110 _____ C:\Users\Sasha\AppData\Roaming\README.txt
    2019-12-30 15:59 - 2019-12-30 15:59 - 000000110 _____ C:\Users\Sasha\AppData\README.txt
    2019-12-30 15:59 - 2019-12-30 15:59 - 000000110 _____ C:\Users\Sasha\AppData\LocalLow\README.txt
    2019-12-30 15:56 - 2019-12-30 15:56 - 000000110 _____ C:\Program Files (x86)\README.txt
    2019-12-30 15:54 - 2019-12-30 15:54 - 000000110 _____ C:\Program Files\README.txt
    2019-12-30 15:53 - 2019-12-30 15:53 - 000000110 _____ C:\Program Files\Common Files\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Все пользователи\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Все пользователи\Desktop\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Sasha\AppData\Local\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Sasha\AppData\Local\Apps\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Public\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Public\Downloads\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Public\Desktop\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Default\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Default\Downloads\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Default\Desktop\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Default\AppData\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Default\AppData\Local\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Default User\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Default User\Downloads\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Default User\Desktop\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Default User\AppData\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\ProgramData\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-12-30 15:52 - 2019-12-30 15:52 - 000000110 _____ C:\ProgramData\Desktop\README.txt
    2019-12-30 15:51 - 2019-12-30 15:51 - 000000110 _____ C:\Users\README.txt
    2019-12-30 15:54 - 2019-12-30 15:54 - 000000110 _____ () C:\Program Files\README.txt
    2019-12-30 15:56 - 2019-12-30 15:56 - 000000110 _____ () C:\Program Files (x86)\README.txt
    2019-12-30 15:53 - 2019-12-30 15:53 - 000000110 _____ () C:\Program Files\Common Files\README.txt
    2019-12-30 15:54 - 2019-12-30 15:54 - 000000110 _____ () C:\Program Files (x86)\Common Files\README.txt
    ShellIconOverlayIdentifiers: [  00BitrixShellExt] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers: [  00BitrixShellExt_A] -> {057E631A-726E-4193-BB37-377DBD42812A} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers: [  00BitrixShellExt_C] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers: [  00BitrixShellExt_E] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers: [  00BitrixShellExt_K] -> {86627476-D173-4FBC-B206-3A19447FF8CC} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers: [  00BitrixShellExt_L] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers: [  00BitrixShellExt_O] -> {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers: [  00BitrixShellExt_S] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers: [  GoogleDriveBlacklisted] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42} => C:\Program Files\Google\Drive\googledrivesync64.dll -> No File
    ShellIconOverlayIdentifiers: [  GoogleDriveSynced] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40} => C:\Program Files\Google\Drive\googledrivesync64.dll -> No File
    ShellIconOverlayIdentifiers: [  GoogleDriveSyncing] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41} => C:\Program Files\Google\Drive\googledrivesync64.dll -> No File
    ShellIconOverlayIdentifiers-x32: [  00BitrixShellExt] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers-x32: [  00BitrixShellExt_A] -> {057E631A-726E-4193-BB37-377DBD42812A} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers-x32: [  00BitrixShellExt_C] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers-x32: [  00BitrixShellExt_E] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers-x32: [  00BitrixShellExt_K] -> {86627476-D173-4FBC-B206-3A19447FF8CC} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers-x32: [  00BitrixShellExt_L] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers-x32: [  00BitrixShellExt_O] -> {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ShellIconOverlayIdentifiers-x32: [  00BitrixShellExt_S] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> No File
    ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll -> No File
    ContextMenuHandlers1: [Atheros] -> {B8952421-0E55-400B-94A6-FA858FC0A39F} => C:\Program Files (x86)\Bluetooth Suite\BtvAppExt.dll -> No File
    ContextMenuHandlers1: [ESET Smart Security - Context Menu Shell Extension] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll -> No File
    ContextMenuHandlers1: [FineReader11ContextMenu] -> {79E48320-C6B5-49F1-992B-571D53586885} => C:\Program Files (x86)\ABBYY FineReader 11\FRIntegration.x64.dll -> No File
    ContextMenuHandlers1: [GDContextMenu] -> {BB02B294-8425-42E5-983F-41A1FA970CD6} => C:\Program Files\Google\Drive\contextmenu64.dll -> No File
    ContextMenuHandlers1-x32: [MyPhoneExplorer] -> {A372C6DF-7A85-41B1-B3B0-D1E24073DCBF} => C:\Program Files (x86)\MyPhoneExplorer\DLL\ShellMgr.dll -> No File
    ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll -> No File
    ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll -> No File
    ContextMenuHandlers3: [FTShellContext] -> {AFF81F7B-6942-40c4-AADA-7214EF7B6DD1} => C:\Program Files (x86)\Bluetooth Suite\ShellContextExt.dll -> No File
    ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll -> No File
    ContextMenuHandlers4: [GDContextMenu] -> {BB02B294-8425-42E5-983F-41A1FA970CD6} => C:\Program Files\Google\Drive\contextmenu64.dll -> No File
    ContextMenuHandlers6: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll -> No File
    ContextMenuHandlers6: [ESET Smart Security - Context Menu Shell Extension] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll -> No File
    ContextMenuHandlers6: [FineReader11ContextMenu] -> {79E48320-C6B5-49F1-992B-571D53586885} => C:\Program Files (x86)\ABBYY FineReader 11\FRIntegration.x64.dll -> No File
    ContextMenuHandlers6: [FSShellExt] -> {56160A70-D083-4856-9998-F565ABC03F86} => C:\Program Files\Key Metric Software\FolderSizes 6\FSShellExt.dll -> No File
    ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll -> No File
    ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Первый раз загрузился в нормальном режиме, NOD32 начал сигнализировать что найдены трояны и стал их удалять.
Сразу перезагрузился в безопасном режиме, далее все делаю из безопасного режима, может быть поэтому не виден файл кодировщика.
Прилагаю файл лога:
 

Вложения

Скорее NOD32 постарался, зловред давно известен.
 
Брут даже для ключа небольшой длины малоэффективен ввиду особенностей его генерирования.
 
Добрый день!
Нет ли новостей по теме?
 
)) шутите?
Если вы серьезно. то да не понятно, в первую очередь не понятно кому это сообщение мне или вашему коллеге. Во вторых я не понимаю что такое брут, о каком ключе идет речь и эффективность в приложении чего.
Вобщем если это было сообщение мне, то я не смог сделать вывод.
 
Подбор ключа нерационален по временным затратам. А значит и с расшифровкой помочь не сможем.
 
Ок, спасибо.
Не подскажите, это вообще в теории реально расшифровать? куда еще можно обратиться?
 
С ключом преступника да, БД, а так используется надежный алгоритм шифрования. Еще можно попробовать восстановить базы 1С.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу