• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Шифровальчик .id-E4A651DC.[savemydata@qq.com].harma

Azamatbz

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Предположительно запустили из почты шифровальщик. Зашифровал все форматы файлов. Файлы имеют вид .id-E4A651DC.[savemydata@qq.com].harma
Зашифровал компьютер и подключенные сетевые диски. Сетевые папки восстановили с помощью резервных копий.

Зашифрованные файлы и оригиналы во вложении, архив с паролем "vir".
Сделал логи с помощью программы FRST64.
Прошу помощь в восстановлении файлов.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,674
Реакции
13,479
Баллы
2,203
Под этот шфировальщик нет дешифраторов, можно почистить мусор.

Проверьте на VirusTotal , очень похоже на процесс шифровальщика.
(Access Denied) C:\Windows\inf\axperflib\0010\0011\000E\0015\mms.exe
(Access Denied) C:\Windows\inf\axperflib\0010\0011\000E\0015\taskhostex.exe
 

Azamatbz

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Есть ли возможность уточнить как шифровальщик проник на компьютер?
 

akok

Команда форума
Администратор
Сообщения
17,674
Реакции
13,479
Баллы
2,203
Сложно сказать, лог FRST обрезан, но копайте в сторону непропатченной RDP
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,734
Реакции
2,535
Баллы
593
Запуск шифратора
Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Save.exe [2019-07-16] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Save.exe [2019-07-17] () [File not signed]
Startup: C:\Users\Елена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Save.exe [2019-07-17] () [File not signed]
(Access Denied) C:\Windows\inf\axperflib\0010\0011\000E\0015\mms.exe
(Access Denied) C:\Windows\inf\axperflib\0010\0011\000E\0015\taskhostex.exe
удаленное администрирование
 

akok

Команда форума
Администратор
Сообщения
17,674
Реакции
13,479
Баллы
2,203
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Сверху Снизу