• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто вирус шифровальщик opensafezona@cock.li

Статус
В этой теме нельзя размещать новые ответы.

morsm

Новый пользователь
Сообщения
10
Реакции
0
Добрый день, сегодня с утра появился новый пользователь в OS
и все файлы зашифрованы, почти в каждой папке появился тхт файл README с инструкцией.
Прошу помощи.
 

Вложения

  • Addition.txt
    46.8 KB · Просмотры: 3
  • FRST.txt
    654.5 KB · Просмотры: 3
  • README.txt
    67 байт · Просмотры: 2
  • зашифрованные файлы.zip
    1.5 MB · Просмотры: 3
Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 64 кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.
 
Политики сами настраивали?
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
 
Два идентичных файла во вложении.
Политики не настраивали.
 

Вложения

  • два идентичных файла.zip
    74.2 KB · Просмотры: 3
Отлично пары подходят. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет. Результат сообщите здесь, пожалуйста.

А мы пока почистим систему. Пароли на RDP смените.
 
К сожалению лицензий нет, пароль сменил.
 
MediaGet2 - используете? Если нет деинсталлируйте.
C:\Users\Backup\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Secondhostl.vbs - ваше?

Скрипты знакомы?
2019-08-25 19:28 - 2019-08-25 19:28 - 000000115 _____ C:\Windows\filehourt.vbs
2019-08-25 19:28 - 2019-08-25 19:28 - 000000054 _____ C:\Windows\Surv.bat
2019-08-25 19:27 - 2019-08-20 22:04 - 000000684 _____ C:\Windows\Sth.bat
2019-08-25 19:27 - 2018-12-23 00:36 - 000000112 _____ C:\Windows\diver.vbs

Какими программами удаленного управления пользуетесь?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    HKLM-x32\...\Run: [2762835] => 2762835
    HKU\S-1-5-21-3156316677-1842003486-1519446273-1000\...\MountPoints2: {fa3096de-68ce-11df-8b81-806e6f6e6963} - E:\Autorun.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {555780F2-DC30-4C70-8322-E018A752B23C} - System32\Tasks\{E1F14680-765F-4CFE-96F6-07A005324F2D} => C:\Windows\system32\pcalua.exe -a C:\Users\Пользователь\Desktop\tconp.exe -d C:\Users\Пользователь\Desktop
    U3 45820BB22143C8EA; \??\c:\users\пользователь\appdata\local\temp\88CCC7B8-1097B3B6-2A20D060-6E7BCCA6\48359fedb.sys [X] <==== ATTENTION
    2019-08-26 13:05 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Services\README.txt
    2019-08-26 13:05 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Services\Downloads\README.txt
    2019-08-26 13:05 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Services\Documents\README.txt
    2019-08-26 13:05 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Services\Desktop\README.txt
    2019-08-26 13:05 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Services\AppData\Roaming\README.txt
    2019-08-26 13:05 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Services\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-26 13:05 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Services\AppData\README.txt
    2019-08-26 13:05 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Services\AppData\Local\README.txt
    2019-08-25 22:30 - 2019-08-25 22:30 - 000000067 _____ C:\Users\Пользователь\README.txt
    2019-08-25 22:30 - 2019-08-25 22:30 - 000000067 _____ C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-25 22:30 - 2019-08-25 22:30 - 000000067 _____ C:\Users\Пользователь\AppData\Local\README.txt
    2019-08-25 22:30 - 2019-08-25 22:30 - 000000067 _____ C:\Users\README.txt
    2019-08-25 22:30 - 2019-08-25 22:30 - 000000067 _____ C:\README.txt
    2019-08-25 22:28 - 2019-08-25 22:28 - 000000067 _____ C:\Users\Пользователь\Downloads\README.txt
    2019-08-25 22:25 - 2019-08-25 22:25 - 000000067 _____ C:\Users\Пользователь\Documents\README.txt
    2019-08-25 21:56 - 2019-08-25 21:56 - 000000067 _____ C:\Users\Пользователь\AppData\Roaming\README.txt
    2019-08-25 21:56 - 2019-08-25 21:56 - 000000067 _____ C:\Users\Пользователь\AppData\README.txt
    2019-08-25 21:54 - 2019-08-25 21:54 - 000000067 _____ C:\Users\Пользователь\AppData\LocalLow\README.txt
    2019-08-25 21:44 - 2019-08-25 22:28 - 000000067 _____ C:\Users\Пользователь\AppData\Local\Apps\README.txt
    2019-08-25 21:44 - 2019-08-25 21:44 - 000000067 _____ C:\Users\Public\README.txt
    2019-08-25 21:44 - 2019-08-25 21:44 - 000000067 _____ C:\Users\Public\Downloads\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default\Downloads\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default\Documents\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default\Desktop\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-08-25 22:25 - 2019-08-25 22:30 - 000000816 _____ C:\Users\Пользователь\Desktop\email-opensafezona@cock.li.ver-CS 1.6.id-2224182542-247047783098076534118759.fname-README.txt.cs16
    2019-08-25 21:44 - 2019-08-25 22:29 - 000000816 _____ C:\Users\Пользователь\AppData\Local\email-opensafezona@cock.li.ver-CS 1.6.id-2224182542-247047783098076534118759.fname-README.txt.cs16
    2019-08-25 21:44 - 2019-08-25 22:28 - 000000816 _____ C:\Users\Пользователь\AppData\Local\Apps\email-opensafezona@cock.li.ver-CS 1.6.id-2224182542-247047783098076534118759.fname-README.txt.cs16
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default\AppData\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default\AppData\Local\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default User\Downloads\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default User\Documents\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default User\Desktop\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default User\AppData\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Backup\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Backup\Downloads\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Backup\Documents\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Backup\Desktop\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Backup\AppData\Roaming\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Backup\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Backup\AppData\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Backup\AppData\LocalLow\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Backup\AppData\Local\README.txt
    2019-08-25 21:41 - 2019-08-25 21:41 - 000000067 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-08-25 21:40 - 2019-08-25 21:44 - 000000816 _____ C:\Users\Все пользователи\README.txt
    2019-08-25 21:40 - 2019-08-25 21:44 - 000000816 _____ C:\Users\Public\Documents\email-opensafezona@cock.li.ver-CS 1.6.id-2224182542-247047783098076534118759.fname-README.txt.cs16
    2019-08-25 21:40 - 2019-08-25 21:44 - 000000816 _____ C:\ProgramData\README.txt
    2019-08-25 21:40 - 2019-08-25 21:44 - 000000067 _____ C:\Users\Public\Documents\README.txt
    2019-08-25 21:40 - 2019-08-25 21:41 - 000000816 _____ C:\Users\Все пользователи\email-opensafezona@cock.li.ver-CS 1.6.id-2224182542-247047783098076534118759.fname-README.txt.cs16
    2019-08-25 21:40 - 2019-08-25 21:41 - 000000816 _____ C:\Users\Public\Desktop\email-opensafezona@cock.li.ver-CS 1.6.id-2224182542-247047783098076534118759.fname-README.txt.cs16
    2019-08-25 21:40 - 2019-08-25 21:41 - 000000816 _____ C:\ProgramData\email-opensafezona@cock.li.ver-CS 1.6.id-2224182542-247047783098076534118759.fname-README.txt.cs16
    2019-08-25 21:40 - 2019-08-25 21:41 - 000000067 _____ C:\Users\Public\Desktop\README.txt
    2019-08-25 21:40 - 2019-08-25 21:40 - 000000067 _____ C:\Program Files (x86)\README.txt
    2019-08-25 21:36 - 2019-08-25 21:36 - 000000067 _____ C:\Program Files\README.txt
    2019-08-25 21:34 - 2019-08-25 21:34 - 000000067 _____ C:\Program Files\Common Files\README.txt
    2019-08-25 21:32 - 2019-08-25 21:44 - 000000816 _____ C:\Users\email-opensafezona@cock.li.ver-CS 1.6.id-2224182542-247047783098076534118759.fname-README.txt.cs16
    2019-08-25 21:36 - 2019-08-25 21:36 - 000000067 _____ () C:\Program Files\README.txt
    2019-08-25 21:40 - 2019-08-25 21:40 - 000000067 _____ () C:\Program Files (x86)\README.txt
    2019-08-25 21:34 - 2019-08-25 21:34 - 000000067 _____ () C:\Program Files\Common Files\README.txt
    2019-08-25 21:37 - 2019-08-25 21:37 - 000000067 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-08-25 21:56 - 2019-08-25 21:56 - 000000067 _____ () C:\Users\Пользователь\AppData\Roaming\README.txt
    2019-08-25 21:55 - 2019-08-25 21:55 - 000000067 _____ () C:\Users\Пользователь\AppData\Roaming\Microsoft\README.txt
    2019-08-25 21:44 - 2019-08-25 22:29 - 000000816 _____ () C:\Users\Пользователь\AppData\Local\email-opensafezona@cock.li.ver-CS 1.6.id-2224182542-247047783098076534118759.fname-README.txt.cs16
    2019-08-25 22:30 - 2019-08-25 22:30 - 000000067 _____ () C:\Users\Пользователь\AppData\Local\README.txt
    CustomCLSID: HKU\S-1-5-21-3156316677-1842003486-1519446273-1000_Classes\CLSID\{4299B2BA-5F79-4F6E-ACF8-11DAB8B7E79D}\InprocServer32 -> C:/Users/Пользователь/AppData/Local/Mail.Ru/Disk-O/CloudShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-3156316677-1842003486-1519446273-1000_Classes\CLSID\{484D065E-EE21-46e6-AE1E-0817B5198F22}\InprocServer32 -> C:\Users\Пользователь\AppData\Roaming\ConsultantPlus\Lib\scons64.dll => No File
    ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    ContextMenuHandlers4-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Проверьте ЛС
 
Спасибо большое. А что сначала? Расшифровка или чистка?
 
Начнем с чистки, там будет перезагрузка.
 
Программа не моя, скрипты тоже.
 

Вложения

  • Fixlog.txt
    17.9 KB · Просмотры: 2
Извините, поторопился
 

Вложения

  • Fixlog.txt
    17.4 KB · Просмотры: 2
Упакуйте в архив и прикрепите к теме, а у себя удалите.

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Отчет во вложении
 

Вложения

  • AdwCleaner[S00].txt
    3.7 KB · Просмотры: 1
  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


ну и приступайте к расшифровке
 
сделано
 

Вложения

  • AdwCleaner[C01].txt
    1.6 KB · Просмотры: 0
Есть плохие новости, под старым расширением используется новая версия шифровальщика с обновленным алгоритмом шифрования. Расшифровки под него нет. (RakhniDecryptor просто возвращает расшифрованную копию, чем ввел в заблуждение).
 
бекапы?
 
тут ничего не делалось
что проще, лечить или все снести?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу