• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Шифровальщик SCARAB, расширение файлов .b78vi7v6ri66b

Статус
В этой теме нельзя размещать новые ответы.

Emik85

Новый пользователь
Сообщения
6
Реакции
2
Добрый день!

Шифровальщик SCARAB, зашифровал документы расширение файлов .b78vi7v6ri66b.
Направляю Вам файлы для анализа.
 

Вложения

  • Addition.txt
    32.9 KB · Просмотры: 1
  • files.zip
    3.3 MB · Просмотры: 1
  • FRST.txt
    73 KB · Просмотры: 1
Здравствуйте!

Расшифровка некоторых версий этого вымогателя есть у ЛК. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Тут почистим следы и мусор:
User (S-1-5-21-1488065272-3977224814-3994856051-1000 - Administrator - Enabled) => C:\Users\User
Этот пользователь с правами администратора известен? Если нет, удалите.
Смените пароль на RDP.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-2595575656-3965736875-3858575752-1228\...\Run: [wQzOTwI] => C:\Users\komarova.g\HOW TO RECOVER ENCRYPTED FILES.TXT [1878 2019-12-02] () [File not signed]
    2019-12-02 16:51 - 2019-12-02 16:51 - 000001878 _____ C:\Users\komarova.g\HOW TO RECOVER ENCRYPTED FILES.TXT
    2019-12-02 16:35 - 2019-12-02 16:35 - 000001878 _____ C:\Users\komarova.g\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT
    2019-12-02 16:35 - 2019-12-02 16:35 - 000001878 _____ C:\Users\komarova.g\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT
    2019-12-02 16:34 - 2019-12-02 16:51 - 000001878 _____ C:\Users\komarova.g\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Файл во вложение.
 

Вложения

  • Fixlog.txt
    2.5 KB · Просмотры: 1
User (S-1-5-21-1488065272-3977224814-3994856051-1000 - Administrator - Enabled) => C:\Users\User
Это пользователь, который создавался после установки системы.
 
Понятно.
Тут на форуме можем только ещё проверить уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Файл во вложение.
Расшифровать данный пока что нет возможности?
 

Вложения

  • SecurityCheck.txt
    6.5 KB · Просмотры: 2
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
VLC media player v.3.0.3 Внимание! Скачать обновления
TeamViewer 13 v.13.2.26558 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.21 (32-bit) v.5.21.0 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
 
  • Like
Реакции: akok
Спасибо за помощь.
Как появится информацию, отпишусь тут.
 
В ЛК помочь не смогли, сказали, что нужно ждать утилиты для расшифровки файлов.
 
  • Like
Реакции: akok
Понятно, жаль. Спасибо за ответ.
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу