• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Как найти помощь для лечения шифровальщика CS 1.6?

Necytij

Новый пользователь
Сообщения
7
Реакции
1
Доброго времени суток вам.

Поймали по rdp шифровальщик, судя по всему через BlueKeep. Как я смотрю сейчас популярна тема шифровальщиков, и обходить вопросы защиты от них не стоит. Не знал, что проблема принимает настолько широкие обороты.
1. Как я понял, CS версию 1.6 лечить у вас пока нет реальной возможности, есть ли аналогичные проекты где эту помощь, может быть даже платно, можно получить?
Нашёл только ваш проект и nomoreransom, ну и видел ваши сообщения на форуме Касперского.
2. Есть ли надежда на то, что в скором времени будет найден вариант расшифровки?
2.б) Нужно ли в таком случае сохранять совместно с важными данными на восстановление, примеров шифрованное/оригинальное и manual.exe с рабочего стола? Из системной памяти он уже был выгружен.
3. Можете ли, пожалуйста, посоветовать более менее продуктивные инструкции по обезопасиванию от таких угроз своими силами? Ведь мало кому по карману профессиональный аудит и наладка.
Чтобы не только восстановить впоследствии, но и на какие моменты нужно обратить внимание, чтобы ситуация не происходила. Видел простейшие рекомендации:
а) Антивирус
б) по поводу открытия файлов из почты
в) запуска подозрительных файлов
г) обновлений системы...
д) обновлять прошивки железа системных блоков, роутеров я так понимаю тоже крайне желательно
просто обновления периодически страшно делать, несколько раз натыкался(3-4 шт, около 1% обновлений, но всё же) на случаи когда железка превращалась в кирпич/падала система при обновлениях.
е) уже сложнее и нужны знания - настройка файрволов.
 
А давайте ка размножим тему, тут оставим лечение, а поговорить в соседнем разделе.
 
Логи с консоли(интернет при этом отключен (просто ip-адрес шлюза стер), но и при включении интернета FRST выдал ошибку обновления.
Примеры небольших файлов и записка от вымогателя. Но я так понял вы и так знаете что это за вирус и лечить его пока не можем.

ОС 99% что будет переустанавливаться, поэтому чистить мусор не нужно. Сильно нужные данные сольем на отдельное устройство в надежде на светлое будущее.
 

Вложения

  • Addition.txt
    26.2 KB · Просмотры: 0
  • FRST.txt
    171.8 KB · Просмотры: 2
  • Примеры файлов и readme.zip
    25.7 KB · Просмотры: 1
FRST выдал ошибку обновления.
Да, он может подкачивать свежие версии, если качался давно. В логах нет ничего кроме мусора, а с расшифровкой помочь не сможем
 
Прошу прощения, уточню - на светлое будущее всё ещё надеяться можно? Ведь без тела самого шифровальщика и ключ если будет найден - не поможет, а manual.exe, я так понимаю, не шифровальщик, а только утилита управления/запуска/бекдор...
 
Наедятся можно, но по срокам даже предположить сложно, день, месяц, год, а то и вообще никогда.
 
Это сам шифровальщик, но при каждом запуске он генерирует уникальный ключ. Из-за этого компьютер может иметь наборы файлов зашифрованные несколькими ключами сразу.
 
Последнее редактирование:
Спасибо. Тему можно закрывать.
 
ЛК удалось справится с этим вымогателем.
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 64 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению и к запросу.
Тип файла предпочтительно офисный документ или картинка.
 
Назад
Сверху Снизу