• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Шифровальщик butterfly.iron@aol.com

freeminder

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Добрый день. 22 июня был зашифрован компьютер. Вероятнее всего проник по RDP.
Все требуемые процедурой файлы прилагаю. Антивируса не было (каюсь). Сейчас
планирую приобрести Total Security. Временно работаю с другого жесткого диска на другой ос.
Данная ОС и жесткий диск с момента заражения не использовались (в надежде что когда нибудь появится
возможность расшифровать).
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,850
Реакции
13,537
Баллы
2,203
Много логов, тем более не с той системы, что заражена. Зашифрованная ОС под переустановку?


Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 256 байт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.
 

freeminder

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Много логов, тем более не с той системы, что заражена. Зашифрованная ОС под переустановку?


Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 256 байт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.
Все логи с зараженной системы. Все инструкции выполнялись, когда я загрузил ос с зараженного жесткого диска. Все другие диски были изъяты из системы.
Скажите, а pdf подойдет?
 

akok

Команда форума
Администратор
Сообщения
17,850
Реакции
13,537
Баллы
2,203
Скажите, а pdf подойдет?
Подойдет

Смените пароли на RDP и

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Users\alex\AppData\Local\Temp\PQQRTTTUVV.exe;
    () [File not signed] C:\Users\alex\AppData\Local\Temp\PQQRTTTUVV.exe
    C:\Users\alex\AppData\Local\Temp\PQQRTTTUVV.exe
    HKU\S-1-5-21-2602423510-1216721188-4289154938-1001\...\Run: [955533035] => C:\Users\alex\AppData\Local\Temp\PQQRTTTUVV.exe [89600 2019-06-22] () [File not signed] <==== ATTENTION
    HKU\S-1-5-21-2602423510-1216721188-4289154938-1001\...\Policies\Explorer: []
    HKU\S-1-5-21-2602423510-1216721188-4289154938-1001\...\MountPoints2: {1c9294b3-4124-11e9-819f-2c4d549eb573} - "J:\AutoRun.exe"
    HKU\S-1-5-21-2602423510-1216721188-4289154938-1001\...\MountPoints2: {796a2246-9d23-11e8-817b-2c4d549eb573} - "G:\Autoplay.exe" -auto
    2019-06-22 03:05 - 2019-06-22 03:05 - 000000078 _____ () C:\Program Files\README.txt
    2019-06-22 03:07 - 2019-06-22 03:07 - 000000078 _____ () C:\Program Files (x86)\README.txt
    2019-06-22 02:55 - 2019-06-22 02:55 - 000000078 _____ () C:\Program Files\Common Files\README.txt
    2019-06-22 03:05 - 2019-06-22 03:05 - 000000078 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-06-22 03:20 - 2019-06-22 03:20 - 000000078 _____ () C:\Users\alex\AppData\Roaming\README.txt
    2019-06-22 03:19 - 2019-06-22 03:19 - 000000078 _____ () C:\Users\alex\AppData\Roaming\Microsoft\README.txt
    2019-06-22 03:19 - 2019-06-22 03:19 - 000000078 _____ () C:\Users\alex\AppData\Local\README.txt
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,850
Реакции
13,537
Баллы
2,203
Я немного дополнил скрипт выше, если уже его выполнили, то запустите его еще раз.
 

akok

Команда форума
Администратор
Сообщения
17,850
Реакции
13,537
Баллы
2,203
Проверьте ЛС.
 

freeminder

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Второй фикслог. Дешифратор работает! Спасибо огромное!

Простите, что сразу не упомянул. Есть еще два жестких диска. (без операционной системы, только файлы) Они отключены от системы сразу после шифрования.
Какой оптимальный алгоритм доступа к ним? Установить на новую ос Kaspersky Total Security и потом уже подключить их ?
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,850
Реакции
13,537
Баллы
2,203
Шифровальщик удалили, можно подключать и менять пароли одновременно, но никто не может запретить переустановку ОС. Тут выбор ваш.
 

akok

Команда форума
Администратор
Сообщения
17,850
Реакции
13,537
Баллы
2,203
Исправьте по возможности

--------------------------- [ FirewallWindows ] ---------------------------
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.9.0 v.2.9.0 Внимание! Скачать обновления
VLC media player v.3.0.3 Внимание! Скачать обновления
Node.js v.10.15.1 Внимание! Скачать обновления
Oracle VM VirtualBox 5.2.8 v.5.2.8 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.15.0.186 v.3.15.0.186 Внимание! Скачать обновления
VMware Workstation v.14.1.3 Внимание! Скачать обновления
GitHub Desktop v.1.6.6 Внимание! Скачать обновления
FileZilla Client 3.37.4 v.3.37.4 Внимание! Скачать обновления
Foxit Reader v.9.2.0.9297 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
-------------------------------- [ Arch ] ---------------------------------
7-Zip 18.05 (x64) v.18.05 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
--------------------------------- [ IM ] ----------------------------------
Telegram Desktop version 1.7.7 v.1.7.7 Внимание! Скачать обновления
^Необязательное обновление.^
mIRC v.7.54 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 191 (64-bit) v.8.0.1910.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u221-windows-x64.exe)^
Java 8 Update 211 (64-bit) v.8.0.2110.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u221-windows-x64.exe)^
Java SE Development Kit 8 Update 211 (64-bit) v.8.0.2110.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u221-windows-x64.exe)^
Java 8 Update 191 v.8.0.1910.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u221-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 31 PPAPI v.31.0.0.122 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 67.0.2 (x64 ru) v.67.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.75.0.3770.100 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

На сим все, как расшифруете файлы отпишитесь в этой теме, я отмечу тему решенной.
Антивируса не было (каюсь).
Он бы и не помог, его отключат после входа.
 

freeminder

Новый пользователь
Сообщения
6
Реакции
0
Баллы
1
Добрый вечер. Процесс расшифровки идет неспешно, потому очень много файлов с немецкими и фр. буквами. И приходится переименовывать.
Но все работает. Думаю, можно тему закрывать.
Огромное спасибо за ваш труд!
 

akok

Команда форума
Администратор
Сообщения
17,850
Реакции
13,537
Баллы
2,203
Хорошо, удачи!
 
Сверху Снизу