• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто вирус шифровальщик opensafezona@cock.li

Статус
В этой теме нельзя размещать новые ответы.

morsm

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Добрый день, сегодня с утра появился новый пользователь в OS
и все файлы зашифрованы, почти в каждой папке появился тхт файл README с инструкцией.
Прошу помощи.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,687
Реакции
13,479
Баллы
2,203
Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 64 кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.
 

akok

Команда форума
Администратор
Сообщения
17,687
Реакции
13,479
Баллы
2,203
Политики сами настраивали?
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
 

akok

Команда форума
Администратор
Сообщения
17,687
Реакции
13,479
Баллы
2,203
Отлично пары подходят. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет. Результат сообщите здесь, пожалуйста.

А мы пока почистим систему. Пароли на RDP смените.
 

morsm

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
К сожалению лицензий нет, пароль сменил.
 

akok

Команда форума
Администратор
Сообщения
17,687
Реакции
13,479
Баллы
2,203
MediaGet2 - используете? Если нет деинсталлируйте.
C:\Users\Backup\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Secondhostl.vbs - ваше?

Скрипты знакомы?
2019-08-25 19:28 - 2019-08-25 19:28 - 000000115 _____ C:\Windows\filehourt.vbs
2019-08-25 19:28 - 2019-08-25 19:28 - 000000054 _____ C:\Windows\Surv.bat
2019-08-25 19:27 - 2019-08-20 22:04 - 000000684 _____ C:\Windows\Sth.bat
2019-08-25 19:27 - 2018-12-23 00:36 - 000000112 _____ C:\Windows\diver.vbs

Какими программами удаленного управления пользуетесь?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    HKLM-x32\...\Run: [2762835] => 2762835
    HKU\S-1-5-21-3156316677-1842003486-1519446273-1000\...\MountPoints2: {fa3096de-68ce-11df-8b81-806e6f6e6963} - E:\Autorun.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {555780F2-DC30-4C70-8322-E018A752B23C} - System32\Tasks\{E1F14680-765F-4CFE-96F6-07A005324F2D} => C:\Windows\system32\pcalua.exe -a C:\Users\Пользователь\Desktop\tconp.exe -d C:\Users\Пользователь\Desktop
    U3 45820BB22143C8EA; \??\c:\users\пользователь\appdata\local\temp\88CCC7B8-1097B3B6-2A20D060-6E7BCCA6\48359fedb.sys [X] <==== ATTENTION
    2019-08-26 13:05 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Services\README.txt
    2019-08-26 13:05 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Services\Downloads\README.txt
    2019-08-26 13:05 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Services\Documents\README.txt
    2019-08-26 13:05 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Services\Desktop\README.txt
    2019-08-26 13:05 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Services\AppData\Roaming\README.txt
    2019-08-26 13:05 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Services\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-26 13:05 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Services\AppData\README.txt
    2019-08-26 13:05 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Services\AppData\Local\README.txt
    2019-08-25 22:30 - 2019-08-25 22:30 - 000000067 _____ C:\Users\Пользователь\README.txt
    2019-08-25 22:30 - 2019-08-25 22:30 - 000000067 _____ C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-25 22:30 - 2019-08-25 22:30 - 000000067 _____ C:\Users\Пользователь\AppData\Local\README.txt
    2019-08-25 22:30 - 2019-08-25 22:30 - 000000067 _____ C:\Users\README.txt
    2019-08-25 22:30 - 2019-08-25 22:30 - 000000067 _____ C:\README.txt
    2019-08-25 22:28 - 2019-08-25 22:28 - 000000067 _____ C:\Users\Пользователь\Downloads\README.txt
    2019-08-25 22:25 - 2019-08-25 22:25 - 000000067 _____ C:\Users\Пользователь\Documents\README.txt
    2019-08-25 21:56 - 2019-08-25 21:56 - 000000067 _____ C:\Users\Пользователь\AppData\Roaming\README.txt
    2019-08-25 21:56 - 2019-08-25 21:56 - 000000067 _____ C:\Users\Пользователь\AppData\README.txt
    2019-08-25 21:54 - 2019-08-25 21:54 - 000000067 _____ C:\Users\Пользователь\AppData\LocalLow\README.txt
    2019-08-25 21:44 - 2019-08-25 22:28 - 000000067 _____ C:\Users\Пользователь\AppData\Local\Apps\README.txt
    2019-08-25 21:44 - 2019-08-25 21:44 - 000000067 _____ C:\Users\Public\README.txt
    2019-08-25 21:44 - 2019-08-25 21:44 - 000000067 _____ C:\Users\Public\Downloads\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default\Downloads\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default\Documents\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default\Desktop\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-08-25 22:25 - 2019-08-25 22:30 - 000000816 _____ C:\Users\Пользователь\Desktop\email-opensafezona@cock.li.ver-CS 1.6.id-2224182542-247047783098076534118759.fname-README.txt.cs16
    2019-08-25 21:44 - 2019-08-25 22:29 - 000000816 _____ C:\Users\Пользователь\AppData\Local\email-opensafezona@cock.li.ver-CS 1.6.id-2224182542-247047783098076534118759.fname-README.txt.cs16
    2019-08-25 21:44 - 2019-08-25 22:28 - 000000816 _____ C:\Users\Пользователь\AppData\Local\Apps\email-opensafezona@cock.li.ver-CS 1.6.id-2224182542-247047783098076534118759.fname-README.txt.cs16
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default\AppData\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default\AppData\Local\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default User\Downloads\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default User\Documents\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default User\Desktop\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default User\AppData\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Backup\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Backup\Downloads\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Backup\Documents\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Backup\Desktop\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Backup\AppData\Roaming\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Backup\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Backup\AppData\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Backup\AppData\LocalLow\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Backup\AppData\Local\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-08-25 21:40 - 2019-08-25 21:44 - 000000816 _____ C:\Users\Все пользователи\README.txt
    2019-08-25 21:40 - 2019-08-25 21:44 - 000000816 _____ C:\Users\Public\Documents\email-opensafezona@cock.li.ver-CS 1.6.id-2224182542-247047783098076534118759.fname-README.txt.cs16
    2019-08-25 21:40 - 2019-08-25 21:44 - 000000816 _____ C:\ProgramData\README.txt
    2019-08-25 21:40 - 2019-08-25 21:44 - 000000067 _____ C:\Users\Public\Documents\README.txt
    2019-08-25 21:40 - 2019-08-25 21:41 - 000000816 _____ C:\Users\Все пользователи\email-opensafezona@cock.li.ver-CS 1.6.id-2224182542-247047783098076534118759.fname-README.txt.cs16
    2019-08-25 21:40 - 2019-08-25 21:41 - 000000816 _____ C:\Users\Public\Desktop\email-opensafezona@cock.li.ver-CS 1.6.id-2224182542-247047783098076534118759.fname-README.txt.cs16
    2019-08-25 21:40 - 2019-08-25 21:41 - 000000816 _____ C:\ProgramData\email-opensafezona@cock.li.ver-CS 1.6.id-2224182542-247047783098076534118759.fname-README.txt.cs16
    2019-08-25 21:40 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Public\Desktop\README.txt
    2019-08-25 21:40 - 2019-08-25 21:40 - 000000067 _____ C:\Program Files (x86)\README.txt
    2019-08-25 21:36 - 2019-08-25 21:36 - 000000067 _____ C:\Program Files\README.txt
    2019-08-25 21:34 - 2019-08-25 21:34 - 000000067 _____ C:\Program Files\Common Files\README.txt
    2019-08-25 21:32 - 2019-08-25 21:44 - 000000816 _____ C:\Users\email-opensafezona@cock.li.ver-CS 1.6.id-2224182542-247047783098076534118759.fname-README.txt.cs16
    2019-08-25 21:36 - 2019-08-25 21:36 - 000000067 _____ () C:\Program Files\README.txt
    2019-08-25 21:40 - 2019-08-25 21:40 - 000000067 _____ () C:\Program Files (x86)\README.txt
    2019-08-25 21:34 - 2019-08-25 21:34 - 000000067 _____ () C:\Program Files\Common Files\README.txt
    2019-08-25 21:37 - 2019-08-25 21:37 - 000000067 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-08-25 21:56 - 2019-08-25 21:56 - 000000067 _____ () C:\Users\Пользователь\AppData\Roaming\README.txt
    2019-08-25 21:55 - 2019-08-25 21:55 - 000000067 _____ () C:\Users\Пользователь\AppData\Roaming\Microsoft\README.txt
    2019-08-25 21:44 - 2019-08-25 22:29 - 000000816 _____ () C:\Users\Пользователь\AppData\Local\email-opensafezona@cock.li.ver-CS 1.6.id-2224182542-247047783098076534118759.fname-README.txt.cs16
    2019-08-25 22:30 - 2019-08-25 22:30 - 000000067 _____ () C:\Users\Пользователь\AppData\Local\README.txt
    CustomCLSID: HKU\S-1-5-21-3156316677-1842003486-1519446273-1000_Classes\CLSID\{4299B2BA-5F79-4F6E-ACF8-11DAB8B7E79D}\InprocServer32 -> C:/Users/Пользователь/AppData/Local/Mail.Ru/Disk-O/CloudShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-3156316677-1842003486-1519446273-1000_Classes\CLSID\{484D065E-EE21-46e6-AE1E-0817B5198F22}\InprocServer32 -> C:\Users\Пользователь\AppData\Roaming\ConsultantPlus\Lib\scons64.dll => No File
    ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    ContextMenuHandlers4-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,687
Реакции
13,479
Баллы
2,203
Проверьте ЛС
 

morsm

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Спасибо большое. А что сначала? Расшифровка или чистка?
 

akok

Команда форума
Администратор
Сообщения
17,687
Реакции
13,479
Баллы
2,203
Начнем с чистки, там будет перезагрузка.
 

morsm

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Программа не моя, скрипты тоже.
 

Вложения

morsm

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Извините, поторопился
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,687
Реакции
13,479
Баллы
2,203
Упакуйте в архив и прикрепите к теме, а у себя удалите.

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,687
Реакции
13,479
Баллы
2,203
  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


ну и приступайте к расшифровке
 

akok

Команда форума
Администратор
Сообщения
17,687
Реакции
13,479
Баллы
2,203
Есть плохие новости, под старым расширением используется новая версия шифровальщика с обновленным алгоритмом шифрования. Расшифровки под него нет. (RakhniDecryptor просто возвращает расшифрованную копию, чем ввел в заблуждение).
 

morsm

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Ясно, какие варианты?
 

akok

Команда форума
Администратор
Сообщения
17,687
Реакции
13,479
Баллы
2,203
бекапы?
 

morsm

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
тут ничего не делалось
что проще, лечить или все снести?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу