• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Стал жертвой Omerta

Статус
В этой теме нельзя размещать новые ответы.

gosha.std

Новый пользователь
Сообщения
9
Реакции
1
Доброго дня!
лёг сервер с базой, в пятницу вечером переустановил ОС, сегодня после перезагрузки даже ОС не загружается... видимо загрузчика теперь тоже нет.. NTLDR is missing...
Буду рад любым Вашим свежим идеям и мыслям, с уважением.
 
Здравствуйте!

Пока перенес в системный раздел (в лечении могут отвечать ограниченный круг пользователей).
Система Win Server 2008, верно?
 
Файлы на месте и читаются?
Ntldr
Ntdetect.com
Boot.ini
 
Кривой шифровальщик побил загрузчик. Пароли на RDP меняли после заражения?

Знаете как восстановить загрузчик? (хотя может еще где пошифровало системное)
 
Кривой шифровальщик побил загрузчик. Пароли на RDP меняли после заражения?

Знаете как восстановить загрузчик? (хотя может еще где пошифровало системное)
пароль еще не менял, сервер отключен сейчас от внешнего
попытаюсь восстановить загрузчик, если важно
 
Доброго дня! Загрузчик успешно восстановлен, с помощью \startrep.exe
 
"Пофиксите" в HijackThis:
Код:
O4 - HKCU\..\Run: [UIdQinhYfS] = C:\Windows\system32\notepad.exe "C:\Users\Администратор\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT"

Увы, это Scarab. Некоторые его версии поддавались расшифровке вирлабов Dr.Web и Eset.
Обратиться к ним можно только при наличии лицензии на их продукт. Но не факт, что для этой версии будет декриптор.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    HKU\S-1-5-21-649686662-3943291286-983357780-500\...\Run: [UIdQinhYfS] => C:\Users\Администратор\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT [2684 2019-03-31] () [File not signed]
    2019-04-02 13:21 - 2019-03-31 14:16 - 000002684 _____ C:\Users\Администратор\Desktop\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:39 - 2019-03-31 14:39 - 002359350 _____ C:\Users\Администратор\UIdQinhYfS.bmp
    2019-03-31 14:39 - 2019-03-31 14:39 - 000002684 _____ C:\Users\Администратор\Downloads\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:39 - 2019-03-31 14:39 - 000002684 _____ C:\Users\Администратор\Documents\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:39 - 000002684 _____ C:\Users\Администратор\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:38 - 000002684 _____ C:\Users\sasha\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:38 - 000002684 _____ C:\Users\sasha\Downloads\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:38 - 000002684 _____ C:\Users\sasha\Documents\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:38 - 000002684 _____ C:\Users\sasha\Desktop\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:38 - 000002684 _____ C:\Users\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:38 - 000002684 _____ C:\Users\Public\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:38 - 000002684 _____ C:\Users\Public\Downloads\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:38 - 000002684 _____ C:\Users\Public\Documents\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:38 - 000002684 _____ C:\Users\Denis\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:36 - 2019-03-31 14:36 - 000002684 _____ C:\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok
Если решите отложить поврежденные файлы "до лучших времен", копии текстовых записок находятся в папке C:\FRST

Больше помочь нечем.

Проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
 
Если решите отложить поврежденные файлы "до лучших времен", копии текстовых записок находятся в папке C:\FRST

Больше помочь нечем.

Проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Да, оставлю винт на консервации.
Спасибо за поддержку и советы. Всем добра
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу