• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Шифровальщик mr.yoba@aol.com.ver-CL 1.3.1.0.id-@@@@@9C70-C204

GRoMashka

Новый пользователь
Сообщения
2
Реакции
0
Приветствую.
Нужна Ваша помощь.
Поймал вирус email-mr.yoba@aol.com.ver-CL 1.3.1.0.id-@@@@@9C70-C204.randomename ... дале различные имена и расширения.
Вирус на двух компьютерах. На обоих win7.
Один выключен, вставлен диск востановления (win7). Не запускался после заражения.
Много дисков.

Второй компьютер перегружался, запущен. выполнилвостанорвление системы на предыдущую дату (3 дня назад)
Логи прикрепил с него

прикрепленые файлы
report.7z - отчет работы утилиты
files_encript.7z - 2 файла . Один не зашифрованый и он же зашифрованы.
 

Вложения

  • report.7z
    19.6 KB · Просмотры: 3
  • files_encript.7z
    4.7 KB · Просмотры: 2
Шифровальщик оставляет файл README.txt
Содержание:
decrypt files? write to this mail mr.yoba@aol.com
 
2019-07-29 15:52 - 2019-07-29 16:45 - 000002304 _____ C:\Users\Roman\Documents\Default.rdp - посмотрите содержимое файла, есть ли аномалии

Смените пароли на RDP и переименуйте стандартные учетные записи


  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\user\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\user\Downloads\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\user\Documents\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\user\Desktop\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\user\AppData\Roaming\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\user\AppData\Local\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\s\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\s\Downloads\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\s\Documents\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\s\Desktop\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\s\AppData\Roaming\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\s\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\s\AppData\Local\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Roman\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Roman\Downloads\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Roman\Documents\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Roman\Desktop\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Roman\AppData\Roaming\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Roman\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Roman\AppData\Local\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Rent\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Rent\Downloads\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Rent\Documents\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Rent\Desktop\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Rent\AppData\Roaming\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Rent\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Rent\AppData\Local\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Public\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Public\Downloads\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Ponsonnet Olivier\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Denis\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Denis\Downloads\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Denis\Documents\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Denis\Desktop\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Denis\AppData\Roaming\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Denis\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Denis\AppData\Local\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Default\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Default\Downloads\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Default\Documents\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Default\Desktop\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Default\AppData\Local\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Default User\Downloads\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Default User\Documents\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Default User\Desktop\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ C:\README.txt
    2019-07-29 02:21 - 2019-07-29 02:24 - 000000067 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-07-29 02:20 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Все пользователи\README.txt
    2019-07-29 02:20 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Public\Documents\README.txt
    2019-07-29 02:20 - 2019-07-29 02:24 - 000000067 _____ C:\Users\Public\Desktop\README.txt
    2019-07-29 02:20 - 2019-07-29 02:24 - 000000067 _____ C:\ProgramData\README.txt
    2019-07-29 02:20 - 2019-07-29 02:20 - 000000067 _____ C:\Program Files (x86)\README.txt
    2019-07-29 01:53 - 2019-07-29 01:53 - 000000067 _____ C:\Program Files\README.txt
    2019-07-29 01:53 - 2019-07-29 01:53 - 000000067 _____ C:\Program Files\Common Files\README.txt
    2019-07-29 01:53 - 2019-07-29 01:53 - 000000067 _____ () C:\Program Files\README.txt
    2019-07-29 02:20 - 2019-07-29 02:20 - 000000067 _____ () C:\Program Files (x86)\README.txt
    2019-07-29 01:53 - 2019-07-29 01:53 - 000000067 _____ () C:\Program Files\Common Files\README.txt
    2019-07-29 02:17 - 2019-07-29 02:17 - 000000067 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-07-29 02:24 - 2019-07-29 02:24 - 000000067 _____ () C:\Users\Roman\AppData\Roaming\README.txt
    FirewallRules: [{AE9A4275-BB44-45E2-ACDB-E2E69CD77348}] => (Allow) C:\Program Files (x86)\Raptr\raptr.exe No File
    FirewallRules: [{A6908BC1-3DD4-4793-84CD-7CB2F6232BD5}] => (Allow) C:\Program Files (x86)\Raptr\raptr.exe No File
    FirewallRules: [{CCF7A702-2139-4EC3-89CC-5DD9FA060838}] => (Allow) C:\Program Files (x86)\Raptr\raptr_im.exe No File
    FirewallRules: [{0CEB20E1-F45E-4079-A211-8E7124C64868}] => (Allow) C:\Program Files (x86)\Raptr\raptr_im.exe No File
    FirewallRules: [TCP Query User{F0CAA983-D281-4007-91F4-F97BD80791B0}E:\sdi_update\sdi_x64_r423.exe] => (Allow) E:\sdi_update\sdi_x64_r423.exe No File
    FirewallRules: [UDP Query User{FA9E7C23-884B-422C-956F-0F3283D1766E}E:\sdi_update\sdi_x64_r423.exe] => (Allow) E:\sdi_update\sdi_x64_r423.exe No File
    FirewallRules: [TCP Query User{761BAE4F-31D8-4D34-B86A-5F1D8B9821A8}F:\sdi_update\sdi_x64_r423.exe] => (Allow) F:\sdi_update\sdi_x64_r423.exe No File
    FirewallRules: [UDP Query User{9F07AD7E-8088-469B-A4C8-6A2C1208C42D}F:\sdi_update\sdi_x64_r423.exe] => (Allow) F:\sdi_update\sdi_x64_r423.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Для этой версии у нас нет расшифровки. При наличии лицензии можете обратиться в службу поддержки DrWeb или ЛК

И нам тоже сообщите, если будет положительный результат.
 
Назад
Сверху Снизу