• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Шифровальщик openpgp@foxmail.com

V

Vadimcorp

Новый пользователь
Сообщения
4
Реакции
0
Здравствуйте. Сегодня поймали шифровальщик. Нужна срочная помощь, т.к. оказываем поддержку нуждающимся и как раз завтра необходима информация, которая зашифрована.
Спасибо.
 

Вложения

  • Addition.txt
    18.1 KB · Просмотры: 1
  • FRST.txt
    33.9 KB · Просмотры: 2
  • openpgp.foxmail.com.7z
    44.5 KB · Просмотры: 2
Это Dharma (.cezar Family), для этого вымогателя пока нет способа дешифровки данных.
 
Система под переустановку или чистим? В логах шифровальщик висит в автозапуске.
 
Систему можно переустановить. Главное данные восстановить (они на другом диске, не на загрузочном), если можно.
Спасибо.
 
Нет, увы. Что-то сделать можно с БД 1с, остальное без ключа преступников не расшифровать.
 
safezone.cc

Восстановление баз данных 1С и Mssql данных после атаки шифратора

Уважаемые пользователи. Проект S.lab предоставляет платные услуги по восстановлению баз данных (1С7, 1C8 и MSSQL) после атаки шифровальщика. Стоимость услуги варьируется от 14т.р до 30т.р за одну базу в зависимости от сложности работ. Проверка и оплата: Оплата проводится по факту выполненных...
safezone.cc safezone.cc
 
Vadimcorp написал(а):
Да уж, вот попали...
Нажмите для раскрытия...
Да, так и есть. Если еще не переустановили систему, пролечим. Смените пароли на RDP и проверьте список пользователей на предмет новых администраторов.

Политики на системе настраивали? Если нет, то добавьте строки ниже в скрипт
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
VirusTotal: C:\Windows\system32\1pgp.exe;
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-07-07] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-07-07] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-07-07] () [File not signed]
Startup: C:\Users\vf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-07-06] () [File not signed]
Startup: C:\Users\vf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-07-06] () [File not signed]
Startup: C:\Users\vvadim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-07-07] () [File not signed]
Startup: C:\Users\vvadim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-07-07] () [File not signed]
HKLM\...\Run: [C:\Users\vf\AppData\Roaming\Info.hta] => C:\Users\vf\AppData\Roaming\Info.hta [13922 2020-07-06] () [File not signed]
HKLM\...\Run: [C:\Users\vvadim\AppData\Roaming\Info.hta] => C:\Users\vvadim\AppData\Roaming\Info.hta [13922 2020-07-07] () [File not signed]
Toolbar: HKU\S-1-5-21-3027004047-1011466507-4169368184-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
2020-07-06 21:50 - 2020-07-07 01:00 - 000013922 _____ C:\Users\vvadim\AppData\Roaming\Info.hta
2020-07-06 21:50 - 2020-07-07 01:00 - 000000172 _____ C:\Users\vvadim\Desktop\FILES ENCRYPTED.txt
2020-07-06 16:03 - 2020-07-07 01:00 - 000013922 _____ C:\Windows\system32\Info.hta
2020-07-06 16:03 - 2020-07-07 01:00 - 000000172 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-07-06 16:03 - 2020-07-07 01:00 - 000000172 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-07-06 16:03 - 2020-07-07 01:00 - 000000172 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-07-06 16:03 - 2020-07-07 01:00 - 000000172 _____ C:\FILES ENCRYPTED.txt
2020-07-06 16:03 - 2020-07-06 16:03 - 000013922 _____ C:\Users\vf\AppData\Roaming\Info.hta
2020-07-06 16:03 - 2020-07-06 16:03 - 000000172 _____ C:\Users\vf\Desktop\FILES ENCRYPTED.txt
2020-07-06 16:00 - 2020-07-07 01:00 - 000094720 _____ C:\Windows\system32\1pgp.exe
2020-07-06 21:50 - 2020-07-06 21:50 - 000094720 _____ () C:\Users\vvadim\AppData\Roaming\1pgp.exe
2020-07-06 21:50 - 2020-07-07 01:00 - 000013922 _____ () C:\Users\vvadim\AppData\Roaming\Info.hta
ContextMenuHandlers6: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll -> No File
ContextMenuHandlers6: [ESET Security Shell] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => C:\Program Files\ESET\ESET Security\shellExt.dll -> No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll -> No File
ContextMenuHandlers1: [ESET Security Shell] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => C:\Program Files\ESET\ESET Security\shellExt.dll -> No File
ContextMenuHandlers2: [ESET Security Shell] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => C:\Program Files\ESET\ESET Security\shellExt.dll -> No File
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Program Files\7-Zip\7-zip.dll -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
FirewallRules: [{65F8552C-AEA8-45FB-842A-C6604FE963B3}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe => No File
FirewallRules: [{CDE91C66-2C13-4080-B78E-3D64FF44EA0E}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => No File
FirewallRules: [{41BFDD17-347D-48A3-AEB5-1D1C8DEFD4D3}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => No File
FirewallRules: [{96479DEF-73C7-4A11-BA27-4D8B178EE23B}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => No File
FirewallRules: [{0C088AF6-01F4-49C0-A5B0-BF1858128E96}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => No File
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу