• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Шифроватор veracrypt@foxmail.com

Статус
В этой теме нельзя размещать новые ответы.

mstk

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
Добрый день!

Сегодня столкнулся с данным шифроватором veracrypt@foxmail.com. Зашифровано почти все.
Файлы вложил согласно инструкции, надеюсь на вашу помощь!

Заранее спасибо!
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,846
Реакции
13,536
Баллы
2,203
Доброго времени суток. Зашифровано Dharma (.cezar Family), для него пока нет дешифровщика. Если есть возможность восстановить данные из бекапа, воспользуйтесь ею.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,846
Реакции
13,536
Баллы
2,203
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe', '');
 QuarantineFile('C:\Users\user203\AppData\Roaming\1Vera.exe', '');
 QuarantineFile('C:\Windows\System32\1Vera.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe', '64');
 DeleteFile('C:\Users\user203\AppData\Roaming\1Vera.exe', '32');
 DeleteFile('C:\Users\user203\AppData\Roaming\1Vera.exe', '64');
 DeleteFile('C:\Users\user203\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe', '64');
 DeleteFile('C:\Windows\System32\1Vera.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1Vera.exe', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '1Vera.exe', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '1Vera.exe', 'x64');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

mstk

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
Спасибо, будем пробовать восстанавливаться из бэкапов.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу