• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки trojan.encoder.567 ver-cs 1.6

igor.potemkin33

Новый пользователь
Сообщения
8
Реакции
2
Баллы
3
добрый день! поймал ночью, trojan.encoder.567 ver-cs 1.6 зашифровал базы и бэкапы от них, есть ли возможность востановить
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,779
Реакции
1,931
Баллы
563
Здравствуйте!

Соберите отчеты по правилам и ничего самостоятельно не предпринимайте.
 

igor.potemkin33

Новый пользователь
Сообщения
8
Реакции
2
Баллы
3
пример зашифрованных файлов в архиве Новая папка, пример файла оригинала в архиве UniversalExchangeXML83
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,779
Реакции
1,931
Баллы
563
После заражения сервер перегружался?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,779
Реакции
1,931
Баллы
563
Увы, с расшифровкой помочь не сможем.
Если не планируете переустановку системы, поможем очистить следы.
 

igor.potemkin33

Новый пользователь
Сообщения
8
Реакции
2
Баллы
3
это уже на почту прилетело
Айайайй, на сейфзону незя бежать плакать, во первых они вам нечем не помогут) Во вторых вы хороните самого себя)
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,779
Реакции
1,931
Баллы
563
Да, мы знаем, что злоумышленники есть на форуме и внимательно следят за темами с расшифровкой.
Платить им мы не советуем. Тем самым вы их стимулируете на дальнейшее зло, равно как гарантии расшифровки при этом тоже нет.
 

akok

Команда форума
Администратор
Сообщения
18,260
Реакции
13,725
Баллы
2,203
+++ проверьте список пользователей, очень много администраторов и гость включен

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\Администратор\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\Администратор\Downloads\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\Администратор\Documents\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\Администратор\Desktop\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\Администратор\AppData\Roaming\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\Администратор\AppData\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\Администратор\AppData\Local\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\usrzup\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\usrzup\Downloads\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\usrzup\Documents\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\usrzup\Desktop\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\usrzup\AppData\Roaming\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\usrzup\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\usrzup\AppData\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\usrzup\AppData\LocalLow\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\usrzup\AppData\Local\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\usrsklad1\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\usrsklad1\Downloads\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\usrsklad1\Documents\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\usrsklad1\Desktop\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\usrsklad1\AppData\Roaming\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\usrsklad1\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\usrsklad1\AppData\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\usrsklad1\AppData\LocalLow\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\Users\README.txt
    2019-07-04 03:09 - 2019-07-04 03:09 - 000000062 _____ C:\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrsklad1\AppData\Local\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrsklad\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrsklad\Downloads\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrsklad\Documents\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrsklad\Desktop\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrsklad\AppData\Roaming\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrsklad\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrsklad\AppData\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrsklad\AppData\LocalLow\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrsklad\AppData\Local\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrkadr\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrkadr\Downloads\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrkadr\Documents\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrkadr\Desktop\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrkadr\AppData\Roaming\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrkadr\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrkadr\AppData\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrkadr\AppData\LocalLow\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrkadr\AppData\Local\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrglbuh\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrglbuh\Downloads\README.txt
    2019-07-04 03:08 - 2019-07-04 03:08 - 000000062 _____ C:\Users\usrglbuh\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\usrglbuh\Documents\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\usrglbuh\Desktop\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\usrglbuh\AppData\Roaming\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\usrglbuh\AppData\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\usrglbuh\AppData\LocalLow\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\usrglbuh\AppData\Local\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\usrbuh\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\usrbuh\Downloads\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\usrbuh\Documents\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\usrbuh\Desktop\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\usrbuh\AppData\Roaming\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\usrbuh\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\usrbuh\AppData\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\usrbuh\AppData\LocalLow\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\usrbuh\AppData\Local\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\USR1CV8\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\USR1CV8\Downloads\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\USR1CV8\Documents\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\USR1CV8\Desktop\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\USR1CV8\AppData\Roaming\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\USR1CV8\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\USR1CV8\AppData\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\USR1CV8\AppData\LocalLow\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\USR1CV8\AppData\Local\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\userzup1\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\userzup1\Downloads\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\userzup1\Documents\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\userzup1\Desktop\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\userzup1\AppData\Roaming\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\userzup1\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\userzup1\AppData\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\userzup1\AppData\LocalLow\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\userzup1\AppData\Local\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\Public\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\Public\Downloads\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\Microsoft SQL Server\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\Microsoft SQL Server\Downloads\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\Microsoft SQL Server\Documents\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\Microsoft SQL Server\Desktop\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\Microsoft SQL Server\AppData\Roaming\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\Microsoft SQL Server\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\Microsoft SQL Server\AppData\README.txt
    2019-07-04 03:07 - 2019-07-04 03:07 - 000000062 _____ C:\Users\Microsoft SQL Server\AppData\LocalLow\README.txt
    2019-07-04 03:06 - 2019-07-04 03:09 - 000000811 _____ C:\Users\host\Desktop\email-mr.yoba@aol.com.ver-CS 1.6.id-2858333362-592208736863485574910843.fname-README.txt.cs16
    2019-07-04 03:06 - 2019-07-04 03:09 - 000000062 _____ C:\Users\host\Desktop\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ C:\Users\Microsoft SQL Server\AppData\Local\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ C:\Users\Microsoft SDKs\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ C:\Users\Microsoft SDKs\Downloads\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ C:\Users\Microsoft SDKs\Documents\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ C:\Users\Microsoft SDKs\Desktop\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ C:\Users\Microsoft SDKs\AppData\Roaming\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ C:\Users\Microsoft SDKs\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ C:\Users\Microsoft SDKs\AppData\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ C:\Users\Microsoft SDKs\AppData\LocalLow\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ C:\Users\Microsoft SDKs\AppData\Local\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ C:\Users\host\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ C:\Users\host\Downloads\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ C:\Users\host\Documents\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ C:\Users\host\AppData\Roaming\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ C:\Users\host\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ C:\Users\host\AppData\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ C:\Users\host\AppData\LocalLow\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\host\AppData\Local\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\Default\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\Default\Downloads\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\Default\Documents\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\Default\Desktop\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\Default\AppData\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\Default\AppData\Local\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\Default User\Downloads\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\Default User\Documents\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\Default User\Desktop\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\Default User\AppData\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\Administrator\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\1CV8\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\1CV8\Downloads\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\1CV8\Documents\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\1CV8\Desktop\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\1CV8\AppData\Roaming\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\1CV8\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\1CV8\AppData\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ C:\Users\1CV8\AppData\LocalLow\README.txt
    2019-07-04 03:04 - 2019-07-04 03:09 - 000000811 _____ C:\Users\Все пользователи\README.txt
    2019-07-04 03:04 - 2019-07-04 03:09 - 000000811 _____ C:\ProgramData\README.txt
    2019-07-04 03:04 - 2019-07-04 03:07 - 000000811 _____ C:\Users\Public\Documents\email-mr.yoba@aol.com.ver-CS 1.6.id-2858333362-592208736863485574910843.fname-README.txt.cs16
    2019-07-04 03:04 - 2019-07-04 03:07 - 000000811 _____ C:\Users\Public\Desktop\email-mr.yoba@aol.com.ver-CS 1.6.id-2858333362-592208736863485574910843.fname-README.txt.cs16
    2019-07-04 03:04 - 2019-07-04 03:07 - 000000062 _____ C:\Users\Public\Documents\README.txt
    2019-07-04 03:04 - 2019-07-04 03:07 - 000000062 _____ C:\Users\Public\Desktop\README.txt
    2019-07-04 03:04 - 2019-07-04 03:05 - 000000811 _____ C:\Users\Все пользователи\email-mr.yoba@aol.com.ver-CS 1.6.id-2858333362-592208736863485574910843.fname-README.txt.cs16
    2019-07-04 03:04 - 2019-07-04 03:05 - 000000811 _____ C:\ProgramData\email-mr.yoba@aol.com.ver-CS 1.6.id-2858333362-592208736863485574910843.fname-README.txt.cs16
    2019-07-04 03:04 - 2019-07-04 03:04 - 000000062 _____ C:\Users\1CV8\AppData\Local\README.txt
    2019-07-04 03:04 - 2019-07-04 03:04 - 000000062 _____ C:\Users\1CS5\README.txt
    2019-07-04 03:04 - 2019-07-04 03:04 - 000000062 _____ C:\Users\1CS5\Downloads\README.txt
    2019-07-04 03:04 - 2019-07-04 03:04 - 000000062 _____ C:\Users\1CS5\Documents\README.txt
    2019-07-04 03:04 - 2019-07-04 03:04 - 000000062 _____ C:\Users\1CS5\Desktop\README.txt
    2019-07-04 03:04 - 2019-07-04 03:04 - 000000062 _____ C:\Users\1CS5\AppData\Roaming\README.txt
    2019-07-04 03:04 - 2019-07-04 03:04 - 000000062 _____ C:\Users\1CS5\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-07-04 03:04 - 2019-07-04 03:04 - 000000062 _____ C:\Users\1CS5\AppData\README.txt
    2019-07-04 03:04 - 2019-07-04 03:04 - 000000062 _____ C:\Users\1CS5\AppData\LocalLow\README.txt
    2019-07-04 03:04 - 2019-07-04 03:04 - 000000062 _____ C:\Users\1CS5\AppData\Local\README.txt
    2019-07-04 03:04 - 2019-07-04 03:04 - 000000062 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-07-04 03:04 - 2019-07-04 03:04 - 000000062 _____ C:\Program Files (x86)\README.txt
    2019-07-04 03:02 - 2019-07-04 03:02 - 000000062 _____ C:\Program Files\README.txt
    2019-07-04 03:01 - 2019-07-04 03:07 - 000000811 _____ C:\Users\email-mr.yoba@aol.com.ver-CS 1.6.id-2858333362-592208736863485574910843.fname-README.txt.cs16
    2019-07-04 03:01 - 2019-07-04 03:01 - 000000062 _____ C:\Program Files\Common Files\README.txt
    2019-07-04 02:52 - 2019-06-25 23:18 - 000090624 _____ C:\Users\host\Desktop\avto.exe
    2019-07-04 03:02 - 2019-07-04 03:02 - 000000062 _____ () C:\Program Files\README.txt
    2019-07-04 03:04 - 2019-07-04 03:04 - 000000062 _____ () C:\Program Files (x86)\README.txt
    2019-07-04 03:01 - 2019-07-04 03:01 - 000000062 _____ () C:\Program Files\Common Files\README.txt
    2019-07-04 03:03 - 2019-07-04 03:03 - 000000062 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ () C:\Users\host\AppData\Roaming\README.txt
    2019-07-04 03:06 - 2019-07-04 03:06 - 000000062 _____ () C:\Users\host\AppData\Roaming\Microsoft\README.txt
    2019-07-04 03:05 - 2019-07-04 03:05 - 000000062 _____ () C:\Users\host\AppData\Local\README.txt
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную

Подробнее читайте в этом руководстве.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,779
Реакции
1,931
Баллы
563
Смените пароли на RDP.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
 

igor.potemkin33

Новый пользователь
Сообщения
8
Реакции
2
Баллы
3
я в любом случае систему буду переустанавливать, меня интересует есть ли варианты по дешифровке файлов
 

akok

Команда форума
Администратор
Сообщения
18,260
Реакции
13,725
Баллы
2,203

igor.potemkin33

Новый пользователь
Сообщения
8
Реакции
2
Баллы
3
Здравствуйте.
Файлы зашифрованы одним из вариантов Trojan.Encoder.567 ver-CS 1.6
На данный момент расшифровка нашими силами видится невозможной.
Восстановление файлов возможно только из резервных/теневых копий если велось их создание.

Основная рекомендация: обратиться с заявлением в территориальное управление полиции;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ.

Итого: хранить зашифрованные файлы - смысл есть; держать этот тикет открытым - нет:
если мы получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы сами переоткроем этот запрос и сообщим вам.
Это отслеживается в т.ч и для закрытых запросов по энкодерной тематике.

---
С уважением, Богдан Чугунов,
служба технической поддержки компании "Доктор Веб"
 

akok

Команда форума
Администратор
Сообщения
18,260
Реакции
13,725
Баллы
2,203
Без fail2ban не рекомендуется. Тоже активно брутят.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,779
Реакции
1,931
Баллы
563
ЛК удалось справится с этим вымогателем.
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 64 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению и к запросу.
Тип файла предпочтительно офисный документ или картинка.
 
Последнее редактирование:
Сверху Снизу