• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. вирус шифровальщик

Статус
В этой теме нельзя размещать новые ответы.
detalmarket

detalmarket

Новый пользователь
Сообщения
28
Реакции
1
Прошу помочь в расшифровке файлов на ПК. 01.07.19г был атакован шифровальщиком, все файла переименовались (email-3nity@tuta.io.ver-CS 1.6.id-.fname-подача заявки.url.cs16)
С уважением Алексей
 

Вложения

Постарайтесь найти несколько пар - зашифрованный и его не зашифрованный оригинал размером не менее 64 кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.
 
Файл пдф
 

Вложения

файл World
 

Вложения

Отличная новость, эту версию можно расшифровать. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет. Результат сообщите здесь, пожалуйста.
 
Remote Manipulator System - ваше?
Пересмотрите список администраторов.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
2019-06-29 18:01 - 2019-06-29 18:01 - 000000061 _____ () C:\Program Files\README.txt
2019-06-29 18:07 - 2019-06-29 18:07 - 000000061 _____ () C:\Program Files (x86)\README.txt
2019-06-29 17:59 - 2019-06-29 17:59 - 000000061 _____ () C:\Program Files\Common Files\README.txt
2019-06-29 18:04 - 2019-06-29 18:04 - 000000061 _____ () C:\Program Files (x86)\Common Files\README.txt
2019-06-29 20:20 - 2019-06-29 20:20 - 000000061 _____ () C:\Users\Алексей\AppData\Roaming\README.txt
2019-06-29 20:18 - 2019-06-29 20:18 - 000000061 _____ () C:\Users\Алексей\AppData\Roaming\Microsoft\README.txt
2019-06-29 20:15 - 2019-06-29 20:15 - 000000061 _____ () C:\Users\Алексей\AppData\Local\README.txt
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe No File
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe No File
FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe No File
FirewallRules: [{A70DE273-F07B-4041-AAB5-8AA3CA9B38DB}] => (Allow) C:\Program Files (x86)\Remote Manipulator System - Server\rutserv.exe No File
FirewallRules: [{D89FEEE5-FB6C-4D36-8A89-E1A4A914A2E7}] => (Allow) C:\Program Files (x86)\AVG\AVG2012\avgmfapx.exe No File
FirewallRules: [{53083884-F3D5-46BC-921B-39C9F4B5BEC7}] => (Allow) C:\Program Files (x86)\AVG\AVG2012\avgmfapx.exe No File
FirewallRules: [{DBABD2D2-8CD5-40AA-88CF-9396D3168F39}] => (Allow) C:\Program Files (x86)\Opera\pluginwrapper\opera_plugin_wrapper.exe No File
FirewallRules: [{F6DD00BE-F2D2-429A-8D67-EFB9344695BA}] => (Allow) C:\Program Files (x86)\Opera\pluginwrapper\opera_plugin_wrapper.exe No File
FirewallRules: [{384FB6C2-3159-41C6-86F4-166F24EE498E}] => (Allow) C:\Program Files (x86)\Opera\opera.exe No File
FirewallRules: [{0F0CF17B-7E78-46C3-BEBA-CC373E77DE7D}] => (Allow) C:\Program Files (x86)\Opera\opera.exe No File
FirewallRules: [{5A450AFC-0131-4579-B445-F3A1B10CD2F9}] => (Allow) C:\Program Files\Microsoft Office\Office15\lync.exe No File
FirewallRules: [{ACF5C70B-0D99-493C-953D-3D8BB83A2CB7}] => (Allow) C:\Program Files\Microsoft Office\Office15\lync.exe No File
FirewallRules: [{7A319836-E8E0-41B7-9ACB-A3189EF7C022}] => (Allow) C:\Program Files\Microsoft Office\Office15\UcMapi.exe No File
FirewallRules: [{D569E59F-08B1-4BFB-A1F2-A7D0695CDECD}] => (Allow) C:\Program Files\Microsoft Office\Office15\UcMapi.exe No File
FirewallRules: [FSRM-SrmReports-In (RPC)] => (Allow) %systemroot%\system32\srmhost.exe No File
FirewallRules: [{940CA3EC-03CC-4EA8-95B0-6A0FFAD95CFB}] => (Allow) C:\Program Files (x86)\AVG\AVG2013\avgmfapx.exe No File
FirewallRules: [{BDA4DD29-1DE7-4E93-9F1E-6CD3880FABC1}] => (Allow) C:\Program Files (x86)\AVG\AVG2013\avgmfapx.exe No File
FirewallRules: [{46E0F047-BD25-46DA-A04A-0FE6492CBD3D}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{33B800B2-95F4-44C1-8CCC-DA5BF6C0FD5E}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{6FAAE664-F558-464F-8359-574FF9373B53}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe No File
FirewallRules: [{F9A33FF6-B8C3-4E13-8C03-85EFD1CB5FF7}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe No File
FirewallRules: [{C89DBDAA-45EF-40AC-B02D-50154C81BE0A}] => (Allow) C:\Program Files (x86)\Venta\VentaFax & Voice\vft38m.exe No File
FirewallRules: [{072D744D-FD9F-432A-8EFA-544A5DC27DDB}] => (Allow) C:\Program Files (x86)\Venta\VentaFax & Voice\vft38m.exe No File
FirewallRules: [{C4A35B50-54B9-4208-BEC1-FDE6E8F14E2D}] => (Allow) C:\Users\16\Downloads\AnyDesk.exe No File
FirewallRules: [{580EAF78-7237-4D37-8988-3D6EF929285C}] => (Allow) C:\Users\16\Downloads\AnyDesk.exe No File
FirewallRules: [{6B80A45A-3C97-40AA-9955-DCA843D6053D}] => (Allow) C:\Users\16\Downloads\AnyDesk.exe No File
FirewallRules: [{BC376147-E622-4735-86E6-96EF686C4A15}] => (Allow) C:\Users\16\Downloads\AnyDesk.exe No File
FirewallRules: [{308F4A19-3EF1-4C05-A7BB-F52B6F767875}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe No File
FirewallRules: [{E4688C52-E02E-4D52-9D6F-C56ACFBF3AC3}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe No File
FirewallRules: [{88EC7CFF-1261-4C51-9DEA-31700DDC95DA}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe No File
FirewallRules: [{01A20BD5-373C-4C7B-A408-AE8C83D04535}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe No File
FirewallRules: [{A85F9395-9B9C-4590-90C2-C335F4CD1887}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\8\InsD26A\Setup.exe No File
FirewallRules: [{2A6344D6-D9AE-44A0-BD94-A2BAC54CFBEA}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\8\InsD26A\Setup.exe No File
FirewallRules: [{A3619276-68BC-4674-855E-1C9C434A32F6}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\8\InsD26A\Setup.exe No File
FirewallRules: [{30B65AFF-F702-4F31-825A-7A6124E83E99}] => (Allow) C:\Program Files (x86)\Samsung\Samsung Universal Print Driver 2\PrinterSelector\SUPDApp.exe No File
FirewallRules: [{2F73076D-5BC6-404C-90E1-86E7EA218766}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\5\InsB056\Setup.exe No File
FirewallRules: [{285228BE-1F70-415A-B642-097348A94382}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\5\InsB056\Setup.exe No File
FirewallRules: [{8C748020-1768-4B42-A7CB-BFD41A79636E}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\5\InsB056\Setup.exe No File
FirewallRules: [{2E06DCCC-6AD3-431C-B6C3-31C114753CE7}] => (Allow) C:\Program Files (x86)\uTorrent\utorrent.exe No File
FirewallRules: [{26B85078-FE5B-45A2-A897-78EDA7C1C641}] => (Allow) C:\Program Files (x86)\uTorrent\utorrent.exe No File
FirewallRules: [{F7BE5D81-F312-4FD9-8406-E605C55D4088}] => (Allow) C:\Program Files (x86)\Opera\60.0.3255.151\opera.exe No File
FirewallRules: [{54BFF1DD-5A19-4E30-9491-C02059DCBB54}] => (Allow) C:\Program Files (x86)\Opera\60.0.3255.170\opera.exe No File
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите как будет время.

Подробнее читайте в этом руководстве.
 
Высылаю файл
Запустился Касперский с проверкой, нашел Троян и поместил в карантин.
 

Вложения

Последнее редактирование:
Remote Manipulator System - Мы устанавливали.
 
Увы как дилетант удалил не сохранив скрин
 
(C:\Users\Бухгалтер\Desktop\manual.exe)- удалил этот объект
 
А, это сам шифровальщик.
 
Что странно, в логах его не было. Так, что лучше заподозрить самое худшее, вас опять взломали и сменить все пароли на RDP
 
После полной проверки касперским был найден еще один троян
 

Вложения

Удалите старые и соберите новые FRST.txt и Addition.txt.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

T
Закрыто Вирус шифровальщик email pisunellakonososeila@onionmail.org
Ответы
6
Просмотры
1K
Tvist161
T
O
Решена без расшифровки вирус шифровальщик DrWeb ->trojan.encoder.35209
Ответы
7
Просмотры
1K
oper
O
E
Решена без расшифровки Словил вирус шифровальщик johnhelper777@gmx.de .decrypt
Ответы
7
Просмотры
2K
Sandor
Sandor
Назад
Сверху Снизу