• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки [The777@tuta.io] шифровальщик

aspid

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
Добрый день! (если он добрый...)

Наш сервер схватил шифроватор [The777@tuta.io]
Очень надеемся на вашу помощь!

Требуемые файлы прикрепил.

Заранее спасибо!
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,469
Реакции
1,846
Баллы
563
Здравствуйте!

Не хватает отчёта Addition.txt
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,469
Реакции
1,846
Баллы
563
К сожалению, расшифровки этой версии вымогателя нет.

Смените пароль на RDP.

Process Hacker 2.39 (r124) - деинсталлируйте.

Для очистки следов:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    HKLM\...\Run: [1hosts.exe] => C:\Windows\System32\1hosts.exe [94720 2019-08-07] () [File not signed]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13908 2019-08-07] () [File not signed]
    HKLM\...\Run: [C:\Users\TEMP\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\TEMP\AppData\Roaming\Info.hta" <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1hosts.exe [2019-08-07] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-07] () [File not signed]
    2019-08-07 20:51 - 2019-08-07 20:51 - 000094720 _____ C:\Windows\system32\1hosts.exe
    2019-08-07 20:51 - 2019-08-07 20:51 - 000013908 _____ C:\Windows\system32\Info.hta
    2019-08-07 20:51 - 2019-08-07 20:51 - 000000200 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-08-07 20:51 - 2019-08-07 20:51 - 000000200 _____ C:\FILES ENCRYPTED.txt
    2019-08-07 20:50 - 2019-08-07 20:51 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
    2019-08-07 20:50 - 2019-08-07 20:51 - 000000000 ____D C:\Program Files\Process Hacker 2
    2019-08-07 20:51 - 2019-01-05 18:58 - 000000000 ____D C:\Users\!pechenin.y\AppData\Roaming\TakeOwnershipEx
    2019-08-07 20:51 - 2019-01-05 18:03 - 000000000 ____D C:\ProgramData\TakeOwnershipEx
    2019-08-07 20:51 - 2019-01-05 18:03 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TakeOwnershipEx
    2019-08-07 20:51 - 2019-01-05 18:03 - 000000000 ____D C:\Program Files (x86)\TakeOwnershipEx
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.
+
sys (S-1-5-21-1567708711-1532130263-1870341365-1024 - Administrator - Enabled)
Если этого пользователя не создавали сами, удалите.
 
Последнее редактирование:

aspid

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
Хорошо сделаем, спасибо за попытку помочь!
 
Сверху Снизу