• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Шифровальщик

Статус
В этой теме нельзя размещать новые ответы.

Кондрат

Активный пользователь
Сообщения
31
Реакции
0
Баллы
46
Добрый день.

Обнаружил сегодня на всех компьютерах в сети . Почти все файлы зашифрованы.

Имена файлов вида email-averia@tuta.io.ver-CL 1.3.1.0.id-@@@@@40F0-DB38.randomname-EFGHJJKLMNNOOPQRRSTTUVWWXYYZAA.BCD с разными расширениями.

Так же есть README.TXT
ATTENTION!

All your files are encrypted with cryptographically strong algorithm, and without original decryption key recovery is impossible.

To get your unique key and decode files, you need to write us at email written below during 72 hours, otherwise your files will be destroyed forever!

averia@tuta.io

averia@tuta.io

averia@tuta.io

Помогите пожалуйста.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,278
Реакции
13,843
Баллы
2,293
С любой зараженной машины соберите логи, посмотрим какие хвосты оставляет зараза. И у вас будет возможность прикрепить пару (зашифрованную и нормальную версию одного файла).
 

Кондрат

Активный пользователь
Сообщения
31
Реакции
0
Баллы
46
С любой зараженной машины соберите логи, посмотрим какие хвосты оставляет зараза. И у вас будет возможность прикрепить пару (зашифрованную и нормальную версию одного файла).

Посмотрите, пожалуйста
 

Вложения

  • CollectionLog-2017.09.25-16.44.zip
    55.6 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,002
Реакции
2,424
Баллы
743
Здравствуйте!

1. Логи сделаны в терминальной сессии, сделайте их из консоли.

2.
Так же есть README.TXT
Этот файл и пару зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.
 

Кондрат

Активный пользователь
Сообщения
31
Реакции
0
Баллы
46
Попробую. К сожалению сам очень далеко от компов, только пытаюсь через помощников...
Один логический диск (с мин. правами доступа) на сервере не смог зашифровать этот вирус. Что хоть немного радует.
 

Вложения

  • Файлы.rar
    1.8 MB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,002
Реакции
2,424
Баллы
743
Я просил именно записку вымогателя README.txt, а не отчеты Автологера. К сожалению, похоже на Cryakl и для него расшифровки пока нет.

пытаюсь через помощников
Логи хорошо бы увидеть, в их сборе нет ничего сложного.
 

Кондрат

Активный пользователь
Сообщения
31
Реакции
0
Баллы
46
Я просил именно записку вымогателя README.txt, а не отчеты Автологера. К сожалению, похоже на Cryakl и для него расшифровки пока нет.


Логи хорошо бы увидеть, в их сборе нет ничего сложного.
А какие еще логи нужны?
 

Вложения

  • README.txt
    360 байт · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,002
Реакции
2,424
Баллы
743
Тот же CollectionLog, но собранный из консоли, а не из терминальной сессии.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,002
Реакции
2,424
Баллы
743
Все дальнейшие рекомендации выполняйте также в этом режиме.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\tosenderbuild.exe');
 QuarantineFile('c:\windows\tosenderbuild.exe', '');
 DeleteFile('c:\windows\tosenderbuild.exe', '32');
ExecuteSysClean;
 ExecuteRepair(1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger.
 

Кондрат

Активный пользователь
Сообщения
31
Реакции
0
Баллы
46
Все дальнейшие рекомендации выполняйте также в этом режиме.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\tosenderbuild.exe');
 QuarantineFile('c:\windows\tosenderbuild.exe', '');
 DeleteFile('c:\windows\tosenderbuild.exe', '32');
ExecuteSysClean;
 ExecuteRepair(1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Подскажите пожалуйста, в терминальном режиме можно или только в консольном?
 

Кондрат

Активный пользователь
Сообщения
31
Реакции
0
Баллы
46
Подскажите пожалуйста еще, восстановление предыдущего состояния можно попробовать или лучше не рисковать?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,002
Реакции
2,424
Баллы
743
Расшифровке файлов это не поможет.
Точнее, в некоторых случаях при определенных действиях есть шанс на восстановление. Но в логах активный вымогатель, поэтому все эти шаги после лечения.
 

Кондрат

Активный пользователь
Сообщения
31
Реакции
0
Баллы
46
Понял, спасибо. Буду ждать решения от Вас.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,002
Реакции
2,424
Баллы
743
Начало дано в сообщении №10. Ждем повторные логи.
 

Кондрат

Активный пользователь
Сообщения
31
Реакции
0
Баллы
46
Посмотрите пожалуйста повторные логи
 

Вложения

  • AutoLogger.rar
    72.5 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,278
Реакции
13,843
Баллы
2,293
Кондрат, и пожалуйста, пришлите карантин (если он есть). Тогда можно будет порекомендовать сигнатурный сканер который почистит хвосты и не придется собирать логи со всего парка машин.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,002
Реакции
2,424
Баллы
743
+
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Кондрат

Активный пользователь
Сообщения
31
Реакции
0
Баллы
46
К сожалению карантина нет...
 

Вложения

  • 11.rar
    32.4 KB · Просмотры: 2
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу