• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Шифровальщик email-nightmare666@cock.li.ver-CL 1.5.1.0.id

Статус
В этой теме нельзя размещать новые ответы.

maximk8

Новый пользователь
Сообщения
10
Реакции
0
Баллы
11
Добрый день! Файлы в общей папке на двух ПК зашифрованы email-nightmare666@cock.li.ver-CL 1.5.1.0.id помогите расшифровать
 

Вложения

  • virus.rar
    63 KB · Просмотры: 1
  • логи ПК-1.rar
    56.9 KB · Просмотры: 2
  • логи ПК-2 CollectionLog-2019.06.10-10.55.zip
    53.8 KB · Просмотры: 1

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,879
Реакции
2,582
Баллы
593
По каждому компьютеру создавайте отдельную тему. Сразу хочу предупредить - расшифровка вряд ли будет возможна ввиду измененного алгоритма генерации ключа шифрования.


Скачайте Farbar Recovery Scan Tool
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

maximk8

Новый пользователь
Сообщения
10
Реакции
0
Баллы
11
Прикрепил
 

Вложения

  • ПК-2.rar
    17.7 KB · Просмотры: 1
  • ПК-1.rar
    19.2 KB · Просмотры: 1

maximk8

Новый пользователь
Сообщения
10
Реакции
0
Баллы
11
Заражение этих двух ПК произошло одновременно через общую папку
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,879
Реакции
2,582
Баллы
593
По каждому компьютеру создавайте отдельную тему
Это я для себя написал?

В этой теме ответ будет только по логам ПК-1. Где-то по удаленке или по сети скорее всего еще может работать
\\tsclient\g\tosenderbuild.exe
Это и есть сам шифратор. Зашли по RDP, подобрав пароль.

1. Выделите следующий код:
Код:
Start::
CreateRestorePoint:
IFEO\sethc.exe: [Debugger] seth.exe
Startup: C:\Users\ASPNET\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk [2018-01-31]
ShortcutTarget: Punto Switcher.lnk -> C:\Users\shadrin\AppData\Roaming\Punto\lsass.exe (No File)
Startup: C:\Users\Vasilii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.lnk [2018-06-06]
ShortcutTarget: desktop.lnk -> C:\Users\shadrin\System\winlogon.exe (No File)
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
 
Последнее редактирование:

maximk8

Новый пользователь
Сообщения
10
Реакции
0
Баллы
11
Благодарю! Прикрепил лог с ПК-1
 

Вложения

  • Fixlog.txt
    1.3 KB · Просмотры: 0

maximk8

Новый пользователь
Сообщения
10
Реакции
0
Баллы
11
Данного файла нет в системе tosenderbuild.exe
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,879
Реакции
2,582
Баллы
593
Увы, с расшифровкойне сможем помочь.
 

maximk8

Новый пользователь
Сообщения
10
Реакции
0
Баллы
11
Утилиту запустили в режиме совместимости с win vista sp2 т.к. у нас стоит windows server 2008 r2
Результаты прикрепил
 

Вложения

  • SecurityCheck.rar
    4 KB · Просмотры: 3

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,803
Реакции
2,344
Баллы
653
Указанное в отчете по возможности обновите.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу