• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Шифровальщик butterfly.iron@aol.com

freeminder

Новый пользователь
Сообщения
6
Реакции
0
Добрый день. 22 июня был зашифрован компьютер. Вероятнее всего проник по RDP.
Все требуемые процедурой файлы прилагаю. Антивируса не было (каюсь). Сейчас
планирую приобрести Total Security. Временно работаю с другого жесткого диска на другой ос.
Данная ОС и жесткий диск с момента заражения не использовались (в надежде что когда нибудь появится
возможность расшифровать).
 

Вложения

  • CollectionLog-2019.07.28-18.42.zip
    132.2 KB · Просмотры: 2
  • README.txt
    78 байт · Просмотры: 1
  • Зашифрованные файлы.rar
    153.9 KB · Просмотры: 2
  • Addition.txt
    115.5 KB · Просмотры: 3
  • FRST.txt
    78.5 KB · Просмотры: 4
Много логов, тем более не с той системы, что заражена. Зашифрованная ОС под переустановку?


Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 256 байт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.
 
Много логов, тем более не с той системы, что заражена. Зашифрованная ОС под переустановку?


Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 256 байт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.

Все логи с зараженной системы. Все инструкции выполнялись, когда я загрузил ос с зараженного жесткого диска. Все другие диски были изъяты из системы.
Скажите, а pdf подойдет?
 
Скажите, а pdf подойдет?
Подойдет

Смените пароли на RDP и

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Users\alex\AppData\Local\Temp\PQQRTTTUVV.exe;
    () [File not signed] C:\Users\alex\AppData\Local\Temp\PQQRTTTUVV.exe
    C:\Users\alex\AppData\Local\Temp\PQQRTTTUVV.exe
    HKU\S-1-5-21-2602423510-1216721188-4289154938-1001\...\Run: [955533035] => C:\Users\alex\AppData\Local\Temp\PQQRTTTUVV.exe [89600 2019-06-22] () [File not signed] <==== ATTENTION
    HKU\S-1-5-21-2602423510-1216721188-4289154938-1001\...\Policies\Explorer: []
    HKU\S-1-5-21-2602423510-1216721188-4289154938-1001\...\MountPoints2: {1c9294b3-4124-11e9-819f-2c4d549eb573} - "J:\AutoRun.exe"
    HKU\S-1-5-21-2602423510-1216721188-4289154938-1001\...\MountPoints2: {796a2246-9d23-11e8-817b-2c4d549eb573} - "G:\Autoplay.exe" -auto
    2019-06-22 03:05 - 2019-06-22 03:05 - 000000078 _____ () C:\Program Files\README.txt
    2019-06-22 03:07 - 2019-06-22 03:07 - 000000078 _____ () C:\Program Files (x86)\README.txt
    2019-06-22 02:55 - 2019-06-22 02:55 - 000000078 _____ () C:\Program Files\Common Files\README.txt
    2019-06-22 03:05 - 2019-06-22 03:05 - 000000078 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-06-22 03:20 - 2019-06-22 03:20 - 000000078 _____ () C:\Users\alex\AppData\Roaming\README.txt
    2019-06-22 03:19 - 2019-06-22 03:19 - 000000078 _____ () C:\Users\alex\AppData\Roaming\Microsoft\README.txt
    2019-06-22 03:19 - 2019-06-22 03:19 - 000000078 _____ () C:\Users\alex\AppData\Local\README.txt
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:
Два файла. Один зашифрованный - другой нет.
 

Вложения

  • Файл чистый + Файл зашифр.rar
    1.1 MB · Просмотры: 2
Я немного дополнил скрипт выше, если уже его выполнили, то запустите его еще раз.
 
Проверьте ЛС.
 

Второй фикслог. Дешифратор работает! Спасибо огромное!

Простите, что сразу не упомянул. Есть еще два жестких диска. (без операционной системы, только файлы) Они отключены от системы сразу после шифрования.
Какой оптимальный алгоритм доступа к ним? Установить на новую ос Kaspersky Total Security и потом уже подключить их ?
 

Вложения

  • Fixlog.txt
    3.8 KB · Просмотры: 2
Шифровальщик удалили, можно подключать и менять пароли одновременно, но никто не может запретить переустановку ОС. Тут выбор ваш.
 
Исправьте по возможности

--------------------------- [ FirewallWindows ] ---------------------------
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.9.0 v.2.9.0 Внимание! Скачать обновления
VLC media player v.3.0.3 Внимание! Скачать обновления
Node.js v.10.15.1 Внимание! Скачать обновления
Oracle VM VirtualBox 5.2.8 v.5.2.8 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.15.0.186 v.3.15.0.186 Внимание! Скачать обновления
VMware Workstation v.14.1.3 Внимание! Скачать обновления
GitHub Desktop v.1.6.6 Внимание! Скачать обновления
FileZilla Client 3.37.4 v.3.37.4 Внимание! Скачать обновления
Foxit Reader v.9.2.0.9297 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
-------------------------------- [ Arch ] ---------------------------------
7-Zip 18.05 (x64) v.18.05 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
--------------------------------- [ IM ] ----------------------------------
Telegram Desktop version 1.7.7 v.1.7.7 Внимание! Скачать обновления
^Необязательное обновление.^
mIRC v.7.54 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 191 (64-bit) v.8.0.1910.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u221-windows-x64.exe)^
Java 8 Update 211 (64-bit) v.8.0.2110.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u221-windows-x64.exe)^
Java SE Development Kit 8 Update 211 (64-bit) v.8.0.2110.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u221-windows-x64.exe)^
Java 8 Update 191 v.8.0.1910.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u221-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 31 PPAPI v.31.0.0.122 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 67.0.2 (x64 ru) v.67.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.75.0.3770.100 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

На сим все, как расшифруете файлы отпишитесь в этой теме, я отмечу тему решенной.
Антивируса не было (каюсь).

Он бы и не помог, его отключат после входа.
 
Добрый вечер. Процесс расшифровки идет неспешно, потому очень много файлов с немецкими и фр. буквами. И приходится переименовывать.
Но все работает. Думаю, можно тему закрывать.
Огромное спасибо за ваш труд!
 
Хорошо, удачи!
 
Назад
Сверху Снизу