• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Шифровальчик .id-E4A651DC.[savemydata@qq.com].harma

Azamatbz

Новый пользователь
Сообщения
13
Реакции
0
Предположительно запустили из почты шифровальщик. Зашифровал все форматы файлов. Файлы имеют вид .id-E4A651DC.[savemydata@qq.com].harma
Зашифровал компьютер и подключенные сетевые диски. Сетевые папки восстановили с помощью резервных копий.

Зашифрованные файлы и оригиналы во вложении, архив с паролем "vir".
Сделал логи с помощью программы FRST64.
Прошу помощь в восстановлении файлов.
 

Вложения

  • архив.7z
    199.5 KB · Просмотры: 1
  • Addition.txt
    35.9 KB · Просмотры: 1
  • FRST.txt
    15.2 KB · Просмотры: 2
Под этот шфировальщик нет дешифраторов, можно почистить мусор.

Проверьте на VirusTotal , очень похоже на процесс шифровальщика.
(Access Denied) C:\Windows\inf\axperflib\0010\0011\000E\0015\mms.exe
(Access Denied) C:\Windows\inf\axperflib\0010\0011\000E\0015\taskhostex.exe
 
Есть ли возможность уточнить как шифровальщик проник на компьютер?
 
Сложно сказать, лог FRST обрезан, но копайте в сторону непропатченной RDP
 
Запуск шифратора
Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Save.exe [2019-07-16] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Save.exe [2019-07-17] () [File not signed]
Startup: C:\Users\Елена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Save.exe [2019-07-17] () [File not signed]

(Access Denied) C:\Windows\inf\axperflib\0010\0011\000E\0015\mms.exe
(Access Denied) C:\Windows\inf\axperflib\0010\0011\000E\0015\taskhostex.exe
удаленное администрирование
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Назад
Сверху Снизу