• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Шифровальщик [email protected]

Vadimcorp

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
Здравствуйте. Сегодня поймали шифровальщик. Нужна срочная помощь, т.к. оказываем поддержку нуждающимся и как раз завтра необходима информация, которая зашифрована.
Спасибо.
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Это Dharma (.cezar Family), для этого вымогателя пока нет способа дешифровки данных.
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Система под переустановку или чистим? В логах шифровальщик висит в автозапуске.
 

Vadimcorp

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
Систему можно переустановить. Главное данные восстановить (они на другом диске, не на загрузочном), если можно.
Спасибо.
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Нет, увы. Что-то сделать можно с БД 1с, остальное без ключа преступников не расшифровать.
 

Vadimcorp

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
А что можно сделать с БД 1С ?
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Да уж, вот попали...
Да, так и есть. Если еще не переустановили систему, пролечим. Смените пароли на RDP и проверьте список пользователей на предмет новых администраторов.

Политики на системе настраивали? Если нет, то добавьте строки ниже в скрипт
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Windows\system32\1pgp.exe;
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-07-07] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-07-07] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-07-07] () [File not signed]
    Startup: C:\Users\vf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-07-06] () [File not signed]
    Startup: C:\Users\vf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-07-06] () [File not signed]
    Startup: C:\Users\vvadim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-07-07] () [File not signed]
    Startup: C:\Users\vvadim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-07-07] () [File not signed]
    HKLM\...\Run: [C:\Users\vf\AppData\Roaming\Info.hta] => C:\Users\vf\AppData\Roaming\Info.hta [13922 2020-07-06] () [File not signed]
    HKLM\...\Run: [C:\Users\vvadim\AppData\Roaming\Info.hta] => C:\Users\vvadim\AppData\Roaming\Info.hta [13922 2020-07-07] () [File not signed]
    Toolbar: HKU\S-1-5-21-3027004047-1011466507-4169368184-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
    2020-07-06 21:50 - 2020-07-07 01:00 - 000013922 _____ C:\Users\vvadim\AppData\Roaming\Info.hta
    2020-07-06 21:50 - 2020-07-07 01:00 - 000000172 _____ C:\Users\vvadim\Desktop\FILES ENCRYPTED.txt
    2020-07-06 16:03 - 2020-07-07 01:00 - 000013922 _____ C:\Windows\system32\Info.hta
    2020-07-06 16:03 - 2020-07-07 01:00 - 000000172 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
    2020-07-06 16:03 - 2020-07-07 01:00 - 000000172 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2020-07-06 16:03 - 2020-07-07 01:00 - 000000172 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2020-07-06 16:03 - 2020-07-07 01:00 - 000000172 _____ C:\FILES ENCRYPTED.txt
    2020-07-06 16:03 - 2020-07-06 16:03 - 000013922 _____ C:\Users\vf\AppData\Roaming\Info.hta
    2020-07-06 16:03 - 2020-07-06 16:03 - 000000172 _____ C:\Users\vf\Desktop\FILES ENCRYPTED.txt
    2020-07-06 16:00 - 2020-07-07 01:00 - 000094720 _____ C:\Windows\system32\1pgp.exe
    2020-07-06 21:50 - 2020-07-06 21:50 - 000094720 _____ () C:\Users\vvadim\AppData\Roaming\1pgp.exe
    2020-07-06 21:50 - 2020-07-07 01:00 - 000013922 _____ () C:\Users\vvadim\AppData\Roaming\Info.hta
    ContextMenuHandlers6: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll -> No File
    ContextMenuHandlers6: [ESET Security Shell] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => C:\Program Files\ESET\ESET Security\shellExt.dll -> No File
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll -> No File
    ContextMenuHandlers1: [ESET Security Shell] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => C:\Program Files\ESET\ESET Security\shellExt.dll -> No File
    ContextMenuHandlers2: [ESET Security Shell] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => C:\Program Files\ESET\ESET Security\shellExt.dll -> No File
    ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll -> No File
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    FirewallRules: [{65F8552C-AEA8-45FB-842A-C6604FE963B3}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe => No File
    FirewallRules: [{CDE91C66-2C13-4080-B78E-3D64FF44EA0E}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => No File
    FirewallRules: [{41BFDD17-347D-48A3-AEB5-1D1C8DEFD4D3}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => No File
    FirewallRules: [{96479DEF-73C7-4A11-BA27-4D8B178EE23B}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => No File
    FirewallRules: [{0C088AF6-01F4-49C0-A5B0-BF1858128E96}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Сверху Снизу