• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. вирус шифровальщик

detalmarket

Новый пользователь
Сообщения
28
Реакции
1
Баллы
3
Прошу помочь в расшифровке файлов на ПК. 01.07.19г был атакован шифровальщиком, все файла переименовались (email-3nity@tuta.io.ver-CS 1.6.id-.fname-подача заявки.url.cs16)
С уважением Алексей
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Постарайтесь найти несколько пар - зашифрованный и его не зашифрованный оригинал размером не менее 64 кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.
 

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Отличная новость, эту версию можно расшифровать. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет. Результат сообщите здесь, пожалуйста.
 

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Remote Manipulator System - ваше?
Пересмотрите список администраторов.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-06-29 18:01 - 2019-06-29 18:01 - 000000061 _____ () C:\Program Files\README.txt
    2019-06-29 18:07 - 2019-06-29 18:07 - 000000061 _____ () C:\Program Files (x86)\README.txt
    2019-06-29 17:59 - 2019-06-29 17:59 - 000000061 _____ () C:\Program Files\Common Files\README.txt
    2019-06-29 18:04 - 2019-06-29 18:04 - 000000061 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-06-29 20:20 - 2019-06-29 20:20 - 000000061 _____ () C:\Users\Алексей\AppData\Roaming\README.txt
    2019-06-29 20:18 - 2019-06-29 20:18 - 000000061 _____ () C:\Users\Алексей\AppData\Roaming\Microsoft\README.txt
    2019-06-29 20:15 - 2019-06-29 20:15 - 000000061 _____ () C:\Users\Алексей\AppData\Local\README.txt
    FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe No File
    FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe No File
    FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe No File
    FirewallRules: [{A70DE273-F07B-4041-AAB5-8AA3CA9B38DB}] => (Allow) C:\Program Files (x86)\Remote Manipulator System - Server\rutserv.exe No File
    FirewallRules: [{D89FEEE5-FB6C-4D36-8A89-E1A4A914A2E7}] => (Allow) C:\Program Files (x86)\AVG\AVG2012\avgmfapx.exe No File
    FirewallRules: [{53083884-F3D5-46BC-921B-39C9F4B5BEC7}] => (Allow) C:\Program Files (x86)\AVG\AVG2012\avgmfapx.exe No File
    FirewallRules: [{DBABD2D2-8CD5-40AA-88CF-9396D3168F39}] => (Allow) C:\Program Files (x86)\Opera\pluginwrapper\opera_plugin_wrapper.exe No File
    FirewallRules: [{F6DD00BE-F2D2-429A-8D67-EFB9344695BA}] => (Allow) C:\Program Files (x86)\Opera\pluginwrapper\opera_plugin_wrapper.exe No File
    FirewallRules: [{384FB6C2-3159-41C6-86F4-166F24EE498E}] => (Allow) C:\Program Files (x86)\Opera\opera.exe No File
    FirewallRules: [{0F0CF17B-7E78-46C3-BEBA-CC373E77DE7D}] => (Allow) C:\Program Files (x86)\Opera\opera.exe No File
    FirewallRules: [{5A450AFC-0131-4579-B445-F3A1B10CD2F9}] => (Allow) C:\Program Files\Microsoft Office\Office15\lync.exe No File
    FirewallRules: [{ACF5C70B-0D99-493C-953D-3D8BB83A2CB7}] => (Allow) C:\Program Files\Microsoft Office\Office15\lync.exe No File
    FirewallRules: [{7A319836-E8E0-41B7-9ACB-A3189EF7C022}] => (Allow) C:\Program Files\Microsoft Office\Office15\UcMapi.exe No File
    FirewallRules: [{D569E59F-08B1-4BFB-A1F2-A7D0695CDECD}] => (Allow) C:\Program Files\Microsoft Office\Office15\UcMapi.exe No File
    FirewallRules: [FSRM-SrmReports-In (RPC)] => (Allow) %systemroot%\system32\srmhost.exe No File
    FirewallRules: [{940CA3EC-03CC-4EA8-95B0-6A0FFAD95CFB}] => (Allow) C:\Program Files (x86)\AVG\AVG2013\avgmfapx.exe No File
    FirewallRules: [{BDA4DD29-1DE7-4E93-9F1E-6CD3880FABC1}] => (Allow) C:\Program Files (x86)\AVG\AVG2013\avgmfapx.exe No File
    FirewallRules: [{46E0F047-BD25-46DA-A04A-0FE6492CBD3D}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{33B800B2-95F4-44C1-8CCC-DA5BF6C0FD5E}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{6FAAE664-F558-464F-8359-574FF9373B53}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe No File
    FirewallRules: [{F9A33FF6-B8C3-4E13-8C03-85EFD1CB5FF7}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe No File
    FirewallRules: [{C89DBDAA-45EF-40AC-B02D-50154C81BE0A}] => (Allow) C:\Program Files (x86)\Venta\VentaFax & Voice\vft38m.exe No File
    FirewallRules: [{072D744D-FD9F-432A-8EFA-544A5DC27DDB}] => (Allow) C:\Program Files (x86)\Venta\VentaFax & Voice\vft38m.exe No File
    FirewallRules: [{C4A35B50-54B9-4208-BEC1-FDE6E8F14E2D}] => (Allow) C:\Users\16\Downloads\AnyDesk.exe No File
    FirewallRules: [{580EAF78-7237-4D37-8988-3D6EF929285C}] => (Allow) C:\Users\16\Downloads\AnyDesk.exe No File
    FirewallRules: [{6B80A45A-3C97-40AA-9955-DCA843D6053D}] => (Allow) C:\Users\16\Downloads\AnyDesk.exe No File
    FirewallRules: [{BC376147-E622-4735-86E6-96EF686C4A15}] => (Allow) C:\Users\16\Downloads\AnyDesk.exe No File
    FirewallRules: [{308F4A19-3EF1-4C05-A7BB-F52B6F767875}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe No File
    FirewallRules: [{E4688C52-E02E-4D52-9D6F-C56ACFBF3AC3}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe No File
    FirewallRules: [{88EC7CFF-1261-4C51-9DEA-31700DDC95DA}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe No File
    FirewallRules: [{01A20BD5-373C-4C7B-A408-AE8C83D04535}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe No File
    FirewallRules: [{A85F9395-9B9C-4590-90C2-C335F4CD1887}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\8\InsD26A\Setup.exe No File
    FirewallRules: [{2A6344D6-D9AE-44A0-BD94-A2BAC54CFBEA}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\8\InsD26A\Setup.exe No File
    FirewallRules: [{A3619276-68BC-4674-855E-1C9C434A32F6}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\8\InsD26A\Setup.exe No File
    FirewallRules: [{30B65AFF-F702-4F31-825A-7A6124E83E99}] => (Allow) C:\Program Files (x86)\Samsung\Samsung Universal Print Driver 2\PrinterSelector\SUPDApp.exe No File
    FirewallRules: [{2F73076D-5BC6-404C-90E1-86E7EA218766}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\5\InsB056\Setup.exe No File
    FirewallRules: [{285228BE-1F70-415A-B642-097348A94382}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\5\InsB056\Setup.exe No File
    FirewallRules: [{8C748020-1768-4B42-A7CB-BFD41A79636E}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\5\InsB056\Setup.exe No File
    FirewallRules: [{2E06DCCC-6AD3-431C-B6C3-31C114753CE7}] => (Allow) C:\Program Files (x86)\uTorrent\utorrent.exe No File
    FirewallRules: [{26B85078-FE5B-45A2-A897-78EDA7C1C641}] => (Allow) C:\Program Files (x86)\uTorrent\utorrent.exe No File
    FirewallRules: [{F7BE5D81-F312-4FD9-8406-E605C55D4088}] => (Allow) C:\Program Files (x86)\Opera\60.0.3255.151\opera.exe No File
    FirewallRules: [{54BFF1DD-5A19-4E30-9491-C02059DCBB54}] => (Allow) C:\Program Files (x86)\Opera\60.0.3255.170\opera.exe No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите как будет время.

Подробнее читайте в этом руководстве.
 

detalmarket

Новый пользователь
Сообщения
28
Реакции
1
Баллы
3
Высылаю файл
Запустился Касперский с проверкой, нашел Троян и поместил в карантин.
 

Вложения

Последнее редактирование:

detalmarket

Новый пользователь
Сообщения
28
Реакции
1
Баллы
3
Remote Manipulator System - Мы устанавливали.
 

detalmarket

Новый пользователь
Сообщения
28
Реакции
1
Баллы
3
Увы как дилетант удалил не сохранив скрин
 

detalmarket

Новый пользователь
Сообщения
28
Реакции
1
Баллы
3
(C:\Users\Бухгалтер\Desktop\manual.exe)- удалил этот объект
 

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
А, это сам шифровальщик.
 

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
Что странно, в логах его не было. Так, что лучше заподозрить самое худшее, вас опять взломали и сменить все пароли на RDP
 

detalmarket

Новый пользователь
Сообщения
28
Реакции
1
Баллы
3
После полной проверки касперским был найден еще один троян
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
Удалите старые и соберите новые FRST.txt и Addition.txt.
 
Сверху Снизу