• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. вирус шифровальщик

Статус
В этой теме нельзя размещать новые ответы.

detalmarket

Новый пользователь
Сообщения
28
Реакции
1
Прошу помочь в расшифровке файлов на ПК. 01.07.19г был атакован шифровальщиком, все файла переименовались (email-3nity@tuta.io.ver-CS 1.6.id-.fname-подача заявки.url.cs16)
С уважением Алексей
 

Вложения

  • FRST.txt
    29.5 KB · Просмотры: 1
  • Addition.txt
    39.6 KB · Просмотры: 1
Постарайтесь найти несколько пар - зашифрованный и его не зашифрованный оригинал размером не менее 64 кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.
 
Файл. Jpg с поврежденного ПК и не поврежденного
 

Вложения

  • 594537-1600x900.rar
    390.7 KB · Просмотры: 1
  • email-3nity@tuta.io.ver-CS 1.6.id-.fname-594537-1600x900.jpg.rar
    391.5 KB · Просмотры: 1
Файл пдф
 

Вложения

  • email-3nity@tuta.io.ver-CS 1.6.id-.fname-№01376 Беларускалий-Агро Новополесский.xls.rar
    68.3 KB · Просмотры: 1
  • №01376 Беларускалий-Агро Новополесский.rar
    167.6 KB · Просмотры: 0
файл World
 

Вложения

  • email-3nity@tuta.io.ver-CS 1.6.id-.fname-ответ на притензию пропуска.doc.rar
    50.2 KB · Просмотры: 1
  • ответ на притензию пропуска.rar
    46.6 KB · Просмотры: 0
Отличная новость, эту версию можно расшифровать. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет. Результат сообщите здесь, пожалуйста.
 
Remote Manipulator System - ваше?
Пересмотрите список администраторов.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-06-29 18:01 - 2019-06-29 18:01 - 000000061 _____ () C:\Program Files\README.txt
    2019-06-29 18:07 - 2019-06-29 18:07 - 000000061 _____ () C:\Program Files (x86)\README.txt
    2019-06-29 17:59 - 2019-06-29 17:59 - 000000061 _____ () C:\Program Files\Common Files\README.txt
    2019-06-29 18:04 - 2019-06-29 18:04 - 000000061 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-06-29 20:20 - 2019-06-29 20:20 - 000000061 _____ () C:\Users\Алексей\AppData\Roaming\README.txt
    2019-06-29 20:18 - 2019-06-29 20:18 - 000000061 _____ () C:\Users\Алексей\AppData\Roaming\Microsoft\README.txt
    2019-06-29 20:15 - 2019-06-29 20:15 - 000000061 _____ () C:\Users\Алексей\AppData\Local\README.txt
    FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe No File
    FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe No File
    FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe No File
    FirewallRules: [{A70DE273-F07B-4041-AAB5-8AA3CA9B38DB}] => (Allow) C:\Program Files (x86)\Remote Manipulator System - Server\rutserv.exe No File
    FirewallRules: [{D89FEEE5-FB6C-4D36-8A89-E1A4A914A2E7}] => (Allow) C:\Program Files (x86)\AVG\AVG2012\avgmfapx.exe No File
    FirewallRules: [{53083884-F3D5-46BC-921B-39C9F4B5BEC7}] => (Allow) C:\Program Files (x86)\AVG\AVG2012\avgmfapx.exe No File
    FirewallRules: [{DBABD2D2-8CD5-40AA-88CF-9396D3168F39}] => (Allow) C:\Program Files (x86)\Opera\pluginwrapper\opera_plugin_wrapper.exe No File
    FirewallRules: [{F6DD00BE-F2D2-429A-8D67-EFB9344695BA}] => (Allow) C:\Program Files (x86)\Opera\pluginwrapper\opera_plugin_wrapper.exe No File
    FirewallRules: [{384FB6C2-3159-41C6-86F4-166F24EE498E}] => (Allow) C:\Program Files (x86)\Opera\opera.exe No File
    FirewallRules: [{0F0CF17B-7E78-46C3-BEBA-CC373E77DE7D}] => (Allow) C:\Program Files (x86)\Opera\opera.exe No File
    FirewallRules: [{5A450AFC-0131-4579-B445-F3A1B10CD2F9}] => (Allow) C:\Program Files\Microsoft Office\Office15\lync.exe No File
    FirewallRules: [{ACF5C70B-0D99-493C-953D-3D8BB83A2CB7}] => (Allow) C:\Program Files\Microsoft Office\Office15\lync.exe No File
    FirewallRules: [{7A319836-E8E0-41B7-9ACB-A3189EF7C022}] => (Allow) C:\Program Files\Microsoft Office\Office15\UcMapi.exe No File
    FirewallRules: [{D569E59F-08B1-4BFB-A1F2-A7D0695CDECD}] => (Allow) C:\Program Files\Microsoft Office\Office15\UcMapi.exe No File
    FirewallRules: [FSRM-SrmReports-In (RPC)] => (Allow) %systemroot%\system32\srmhost.exe No File
    FirewallRules: [{940CA3EC-03CC-4EA8-95B0-6A0FFAD95CFB}] => (Allow) C:\Program Files (x86)\AVG\AVG2013\avgmfapx.exe No File
    FirewallRules: [{BDA4DD29-1DE7-4E93-9F1E-6CD3880FABC1}] => (Allow) C:\Program Files (x86)\AVG\AVG2013\avgmfapx.exe No File
    FirewallRules: [{46E0F047-BD25-46DA-A04A-0FE6492CBD3D}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{33B800B2-95F4-44C1-8CCC-DA5BF6C0FD5E}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{6FAAE664-F558-464F-8359-574FF9373B53}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe No File
    FirewallRules: [{F9A33FF6-B8C3-4E13-8C03-85EFD1CB5FF7}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe No File
    FirewallRules: [{C89DBDAA-45EF-40AC-B02D-50154C81BE0A}] => (Allow) C:\Program Files (x86)\Venta\VentaFax & Voice\vft38m.exe No File
    FirewallRules: [{072D744D-FD9F-432A-8EFA-544A5DC27DDB}] => (Allow) C:\Program Files (x86)\Venta\VentaFax & Voice\vft38m.exe No File
    FirewallRules: [{C4A35B50-54B9-4208-BEC1-FDE6E8F14E2D}] => (Allow) C:\Users\16\Downloads\AnyDesk.exe No File
    FirewallRules: [{580EAF78-7237-4D37-8988-3D6EF929285C}] => (Allow) C:\Users\16\Downloads\AnyDesk.exe No File
    FirewallRules: [{6B80A45A-3C97-40AA-9955-DCA843D6053D}] => (Allow) C:\Users\16\Downloads\AnyDesk.exe No File
    FirewallRules: [{BC376147-E622-4735-86E6-96EF686C4A15}] => (Allow) C:\Users\16\Downloads\AnyDesk.exe No File
    FirewallRules: [{308F4A19-3EF1-4C05-A7BB-F52B6F767875}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe No File
    FirewallRules: [{E4688C52-E02E-4D52-9D6F-C56ACFBF3AC3}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe No File
    FirewallRules: [{88EC7CFF-1261-4C51-9DEA-31700DDC95DA}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe No File
    FirewallRules: [{01A20BD5-373C-4C7B-A408-AE8C83D04535}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe No File
    FirewallRules: [{A85F9395-9B9C-4590-90C2-C335F4CD1887}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\8\InsD26A\Setup.exe No File
    FirewallRules: [{2A6344D6-D9AE-44A0-BD94-A2BAC54CFBEA}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\8\InsD26A\Setup.exe No File
    FirewallRules: [{A3619276-68BC-4674-855E-1C9C434A32F6}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\8\InsD26A\Setup.exe No File
    FirewallRules: [{30B65AFF-F702-4F31-825A-7A6124E83E99}] => (Allow) C:\Program Files (x86)\Samsung\Samsung Universal Print Driver 2\PrinterSelector\SUPDApp.exe No File
    FirewallRules: [{2F73076D-5BC6-404C-90E1-86E7EA218766}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\5\InsB056\Setup.exe No File
    FirewallRules: [{285228BE-1F70-415A-B642-097348A94382}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\5\InsB056\Setup.exe No File
    FirewallRules: [{8C748020-1768-4B42-A7CB-BFD41A79636E}] => (Allow) C:\Users\Бухгалтер\AppData\Local\Temp\5\InsB056\Setup.exe No File
    FirewallRules: [{2E06DCCC-6AD3-431C-B6C3-31C114753CE7}] => (Allow) C:\Program Files (x86)\uTorrent\utorrent.exe No File
    FirewallRules: [{26B85078-FE5B-45A2-A897-78EDA7C1C641}] => (Allow) C:\Program Files (x86)\uTorrent\utorrent.exe No File
    FirewallRules: [{F7BE5D81-F312-4FD9-8406-E605C55D4088}] => (Allow) C:\Program Files (x86)\Opera\60.0.3255.151\opera.exe No File
    FirewallRules: [{54BFF1DD-5A19-4E30-9491-C02059DCBB54}] => (Allow) C:\Program Files (x86)\Opera\60.0.3255.170\opera.exe No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите как будет время.

Подробнее читайте в этом руководстве.
 
Высылаю файл
Запустился Касперский с проверкой, нашел Троян и поместил в карантин.
 

Вложения

  • Fixlog.txt
    13.6 KB · Просмотры: 1
Последнее редактирование:
Remote Manipulator System - Мы устанавливали.
 
Увы как дилетант удалил не сохранив скрин
 
(C:\Users\Бухгалтер\Desktop\manual.exe)- удалил этот объект
 
А, это сам шифровальщик.
 
Что странно, в логах его не было. Так, что лучше заподозрить самое худшее, вас опять взломали и сменить все пароли на RDP
 
После полной проверки касперским был найден еще один троян
 

Вложения

  • вирус.rar
    100.7 KB · Просмотры: 0
Удалите старые и соберите новые FRST.txt и Addition.txt.
 
Свежий
 

Вложения

  • Desktop.rar
    17.7 KB · Просмотры: 1
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу