• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки шифровальщик [email protected]

Статус
В этой теме нельзя размещать новые ответы.

rusmuzhik

Новый пользователь
Сообщения
4
Реакции
0
Баллы
11
[email protected]-CL [email protected]@@@@5A84-791F.randomname-DEEFGHHIIJKLLLMMNOPPPQRRSTTUUV.WWX


Зашифровал базы данных 1с, pdf и прочее
Есть шанс восстановить или всё плохо?
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,325
Реакции
13,342
Баллы
2,203
Это BitCoinMiner.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - Startup other users: C:\Users\1c\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk    ->    C:\Users\Public\Downloads\start.vbs
И удалите вручную файлы которые прикрепили к архиву.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

rusmuzhik

Новый пользователь
Сообщения
4
Реакции
0
Баллы
11
прикладываю
 

Вложения

  • 26.3 KB Просмотры: 2

akok

Команда форума
Администратор
Сообщения
19,325
Реакции
13,342
Баллы
2,203
Don't Sleep 4.77 Prevent Shutdown, Stand By, Turn Off, Restart и Download Mouse Lock 2.2 - сами ставили или можно удалять?
Advanced_IP_Scanner - если не ваше, то меняйте пароли (RDP, учетные записи). Ищите откуда прилетело вредоносное ПО и что успели скомпрометировать.
Проверьте содержимое
%systemroot%\system32\silcollector.cmd
%systemroot%\system32\calluxxprovider.vbs

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal:  C:\Users\Public\Documents\update.exe;C:\Windows\SysWOW64\wininit.exe
    ShortcutTarget: start.lnk -> C:\Users\Public\Downloads\start.vbs (No File)
    2018-10-07 12:23 - 2018-07-28 12:20 - 000000396 _____ C:\Users\Public\Documents\start.bat
    2018-10-07 12:23 - 2018-07-22 21:29 - 000000296 _____ C:\Users\Public\Documents\startup.bat
    2018-10-07 12:23 - 2018-07-22 15:54 - 000000106 _____ C:\Users\Public\Documents\start.vbs
    2018-10-07 12:23 - 2018-05-07 02:24 - 001062400 _____ (www.xmrig.com) C:\Users\Public\Documents\update.exe
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 ___SH C:\Users\Public\Downloads\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Все пользователи\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Public\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\Downloads\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\Documents\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\Desktop\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\AppData\Roaming\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\AppData\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\AppData\Local\Temp\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\Downloads\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\Documents\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\Desktop\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\AppData\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\AppData\Local\Temp\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\Downloads\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\Documents\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\Desktop\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\AppData\Roaming\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\AppData\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\AppData\LocalLow\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\AppData\Local\Temp\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\ProgramData\README.txt
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    C:\Users\1c\AppData\Local\Temp\2\STTTVVWXXX.exe
    C:\Users\1c\Desktop\my.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Судя по логам запуск был от учетной записи 1c (S-1-5-21-782584854-797181788-476178015-1010 - Limited - Enabled) => C:\Users\1c 2018-10-06 03:55:41
 

rusmuzhik

Новый пользователь
Сообщения
4
Реакции
0
Баллы
11
Я буду полностью переставлять операционную систему. Это быстрее и проще
Вопрос только в расшифровке файлов. Я так понял, это невозможно.
 

akok

Команда форума
Администратор
Сообщения
19,325
Реакции
13,342
Баллы
2,203
Я буду полностью переставлять операционную систему. Это быстрее и проще
Так проще.

Вопрос только в расшифровке файлов. Я так понял, это невозможно.
без злоумышленников нет. Ну или в неопределенном будущем если будут захвачены ключи.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,744
Реакции
2,067
Баллы
643
@rusmuzhik, еще несколько зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.
 

rusmuzhik

Новый пользователь
Сообщения
4
Реакции
0
Баллы
11
В архиве зашифрованные файлы и оригинал файлов
 

Вложения

  • 882.7 KB Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,744
Реакции
2,067
Баллы
643
При наличии лицензии на любой из продуктов лаборатории Касперского можете создать запрос на расшифровку здесь или здесь.
Обнадеживать не буду, может оказаться, что эта версия не поддается расшифровке.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу