• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Стал жертвой Omerta

Статус
В этой теме нельзя размещать новые ответы.

gosha.std

Новый пользователь
Сообщения
9
Реакции
1
Доброго дня!
лёг сервер с базой, в пятницу вечером переустановил ОС, сегодня после перезагрузки даже ОС не загружается... видимо загрузчика теперь тоже нет.. NTLDR is missing...
Буду рад любым Вашим свежим идеям и мыслям, с уважением.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,221
Реакции
2,479
Здравствуйте!

Пока перенес в системный раздел (в лечении могут отвечать ограниченный круг пользователей).
Система Win Server 2008, верно?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,420
Реакции
13,903
Файлы на месте и читаются?
Ntldr
Ntdetect.com
Boot.ini
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,420
Реакции
13,903
Кривой шифровальщик побил загрузчик. Пароли на RDP меняли после заражения?

Знаете как восстановить загрузчик? (хотя может еще где пошифровало системное)
 

gosha.std

Новый пользователь
Сообщения
9
Реакции
1
Кривой шифровальщик побил загрузчик. Пароли на RDP меняли после заражения?

Знаете как восстановить загрузчик? (хотя может еще где пошифровало системное)
пароль еще не менял, сервер отключен сейчас от внешнего
попытаюсь восстановить загрузчик, если важно
 

gosha.std

Новый пользователь
Сообщения
9
Реакции
1
Доброго дня! Загрузчик успешно восстановлен, с помощью \startrep.exe
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,221
Реакции
2,479

gosha.std

Новый пользователь
Сообщения
9
Реакции
1
log
 

Вложения

  • Desktop.rar
    97.9 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,221
Реакции
2,479
"Пофиксите" в HijackThis:
Код:
O4 - HKCU\..\Run: [UIdQinhYfS] = C:\Windows\system32\notepad.exe "C:\Users\Администратор\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT"

Увы, это Scarab. Некоторые его версии поддавались расшифровке вирлабов Dr.Web и Eset.
Обратиться к ним можно только при наличии лицензии на их продукт. Но не факт, что для этой версии будет декриптор.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,221
Реакции
2,479
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    HKU\S-1-5-21-649686662-3943291286-983357780-500\...\Run: [UIdQinhYfS] => C:\Users\Администратор\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT [2684 2019-03-31] () [File not signed]
    2019-04-02 13:21 - 2019-03-31 14:16 - 000002684 _____ C:\Users\Администратор\Desktop\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:39 - 2019-03-31 14:39 - 002359350 _____ C:\Users\Администратор\UIdQinhYfS.bmp
    2019-03-31 14:39 - 2019-03-31 14:39 - 000002684 _____ C:\Users\Администратор\Downloads\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:39 - 2019-03-31 14:39 - 000002684 _____ C:\Users\Администратор\Documents\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:39 - 000002684 _____ C:\Users\Администратор\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:38 - 000002684 _____ C:\Users\sasha\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:38 - 000002684 _____ C:\Users\sasha\Downloads\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:38 - 000002684 _____ C:\Users\sasha\Documents\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:38 - 000002684 _____ C:\Users\sasha\Desktop\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:38 - 000002684 _____ C:\Users\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:38 - 000002684 _____ C:\Users\Public\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:38 - 000002684 _____ C:\Users\Public\Downloads\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:38 - 000002684 _____ C:\Users\Public\Documents\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:38 - 2019-03-31 14:38 - 000002684 _____ C:\Users\Denis\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-03-31 14:36 - 2019-03-31 14:36 - 000002684 _____ C:\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok

gosha.std

Новый пользователь
Сообщения
9
Реакции
1
1
 

Вложения

  • Fixlog.txt
    4.1 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,221
Реакции
2,479
Если решите отложить поврежденные файлы "до лучших времен", копии текстовых записок находятся в папке C:\FRST

Больше помочь нечем.

Проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
 

gosha.std

Новый пользователь
Сообщения
9
Реакции
1
Если решите отложить поврежденные файлы "до лучших времен", копии текстовых записок находятся в папке C:\FRST

Больше помочь нечем.

Проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Да, оставлю винт на консервации.
Спасибо за поддержку и советы. Всем добра
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу