Решена без расшифровки шифровальщик email-tapok@tuta.io

Статус
В этой теме нельзя размещать новые ответы.

rusmuzhik

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
email-tapok@tuta.io.ver-CL 1.3.1.0.id-@@@@@5A84-791F.randomname-DEEFGHHIIJKLLLMMNOPPPQRRSTTUUV.WWX


Зашифровал базы данных 1с, pdf и прочее
Есть шанс восстановить или всё плохо?
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,377
Реакции
13,011
Баллы
2,203
Это BitCoinMiner.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - Startup other users: C:\Users\1c\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk    ->    C:\Users\Public\Downloads\start.vbs
И удалите вручную файлы которые прикрепили к архиву.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

rusmuzhik

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
прикладываю
 

Вложения

  • 26.3 KB Просмотры: 2

akok

Команда форума
Администратор
Сообщения
16,377
Реакции
13,011
Баллы
2,203
Don't Sleep 4.77 Prevent Shutdown, Stand By, Turn Off, Restart и Download Mouse Lock 2.2 - сами ставили или можно удалять?
Advanced_IP_Scanner - если не ваше, то меняйте пароли (RDP, учетные записи). Ищите откуда прилетело вредоносное ПО и что успели скомпрометировать.
Проверьте содержимое
%systemroot%\system32\silcollector.cmd
%systemroot%\system32\calluxxprovider.vbs

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal:  C:\Users\Public\Documents\update.exe;C:\Windows\SysWOW64\wininit.exe
    ShortcutTarget: start.lnk -> C:\Users\Public\Downloads\start.vbs (No File)
    2018-10-07 12:23 - 2018-07-28 12:20 - 000000396 _____ C:\Users\Public\Documents\start.bat
    2018-10-07 12:23 - 2018-07-22 21:29 - 000000296 _____ C:\Users\Public\Documents\startup.bat
    2018-10-07 12:23 - 2018-07-22 15:54 - 000000106 _____ C:\Users\Public\Documents\start.vbs
    2018-10-07 12:23 - 2018-05-07 02:24 - 001062400 _____ (www.xmrig.com) C:\Users\Public\Documents\update.exe
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 ___SH C:\Users\Public\Downloads\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Все пользователи\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Public\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\Downloads\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\Documents\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\Desktop\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\AppData\Roaming\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\AppData\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default\AppData\Local\Temp\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\Downloads\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\Documents\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\Desktop\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\AppData\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\Default User\AppData\Local\Temp\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\Downloads\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\Documents\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\Desktop\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\AppData\Roaming\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\AppData\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\AppData\LocalLow\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\Users\1c\AppData\Local\Temp\README.txt
    2018-10-06 01:56 - 2018-10-06 01:56 - 000000069 _____ C:\ProgramData\README.txt
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    C:\Users\1c\AppData\Local\Temp\2\STTTVVWXXX.exe
    C:\Users\1c\Desktop\my.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Судя по логам запуск был от учетной записи 1c (S-1-5-21-782584854-797181788-476178015-1010 - Limited - Enabled) => C:\Users\1c 2018-10-06 03:55:41
 

rusmuzhik

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
Я буду полностью переставлять операционную систему. Это быстрее и проще
Вопрос только в расшифровке файлов. Я так понял, это невозможно.
 

akok

Команда форума
Администратор
Сообщения
16,377
Реакции
13,011
Баллы
2,203
Я буду полностью переставлять операционную систему. Это быстрее и проще
Так проще.

Вопрос только в расшифровке файлов. Я так понял, это невозможно.
без злоумышленников нет. Ну или в неопределенном будущем если будут захвачены ключи.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,747
Реакции
1,731
Баллы
503
@rusmuzhik, еще несколько зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.
 

rusmuzhik

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
В архиве зашифрованные файлы и оригинал файлов
 

Вложения

  • 882.7 KB Просмотры: 2

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,747
Реакции
1,731
Баллы
503
При наличии лицензии на любой из продуктов лаборатории Касперского можете создать запрос на расшифровку здесь или здесь.
Обнадеживать не буду, может оказаться, что эта версия не поддается расшифровке.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу