• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Вирус Шифровщик. Нужна помощь

Статус
В этой теме нельзя размещать новые ответы.

lexed

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
Добрый день ! Подскажите, пожалуйста, что делать! Шифровальщик зашифровал все файлы приложений
и баз данных 1С на компьютере. Зашифровался весь компьютер с различными расширениями (.zzo .qzi. Jxk и другие).
Помогите, подскажите, есть ли вариант расшифровки данных? Логи и сам шифрованный файл прилагаю
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,818
Реакции
1,952
Баллы
643
Здравствуйте!

Лечить систему следует на одном форуме. Разные рекомендации могут вам же повредить и запутать консультанта.
Определитесь, где будете продолжать - здесь или на форуме ЛК?
 

lexed

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
Здравствуйте!

Лечить систему следует на одном форуме. Разные рекомендации могут вам же повредить и запутать консультанта.
Определитесь, где будете продолжать - здесь или на форуме ЛК?
Будем продолжать тут
 

akok

Команда форума
Администратор
Сообщения
18,330
Реакции
13,794
Баллы
2,203
По поводу дешифровки. Для этой версии cryakl нет возможности дешифровать файлы. Есть только возможность восстановить БД 1с. Если, что @thyrex меня поправит.


Ваше?

Task: {67C4BD02-3F06-4E35-B9FB-3929280E6438} - System32\Tasks\WBadminBackupRestore => wbadmin [Argument = DELETE BACKUP -keepVersions:0]
Task: {8345E556-60F7-49A8-8EA0-CF15D0BC2A19} - System32\Tasks\WBadminSystemRestore => wbadmin [Argument = DELETE SYSTEMSTATEBACKUP -keepVersions:0]

Все администраторы ваши?
User (S-1-5-21-3442210828-564957946-3783906836-1000 - Administrator - Enabled) => C:\Users\User
Администратор (S-1-5-21-3442210828-564957946-3783906836-500 - Administrator - Disabled)
Алла (S-1-5-21-3442210828-564957946-3783906836-1001 - Administrator - Enabled) => C:\Users\Алла

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [3780312] => 3780312
    Task: {67C0F595-57ED-48A3-8FC6-9F76ECF1F2B3} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE
    Task: {8899BA3B-7AAF-4B89-A84D-D92F4A61B326} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
    2020-02-14 22:14 - 2020-02-14 22:14 - 000000075 _____ C:\Program Files (x86)\README.txt
    2020-02-14 22:09 - 2020-02-14 22:09 - 000000075 _____ C:\Program Files\README.txt
    2020-02-14 22:09 - 2020-02-14 22:09 - 000000075 _____ C:\Program Files\Common Files\README.txt
    2020-02-14 21:54 - 2020-02-14 21:54 - 000000075 _____ C:\Users\Ирина\README.txt
    2020-02-14 21:54 - 2020-02-14 21:54 - 000000075 _____ C:\Users\Ирина\Desktop\README.txt
    2020-02-14 21:54 - 2020-02-14 21:54 - 000000075 _____ C:\Users\Ирина\AppData\Roaming\README.txt
    2020-02-14 21:54 - 2020-02-14 21:54 - 000000075 _____ C:\Users\Ирина\AppData\README.txt
    2020-02-14 21:54 - 2020-02-14 21:54 - 000000075 _____ C:\Users\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\Алла\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\Алла\Downloads\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\Алла\Documents\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\Алла\Desktop\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\Алла\AppData\Roaming\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\Алла\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\Алла\AppData\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\Алла\AppData\LocalLow\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\Алла\AppData\Local\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\User\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\User\Downloads\README.txt
    2020-02-14 21:53 - 2020-02-14 21:53 - 000000075 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-02-14 21:51 - 2020-02-14 21:51 - 000000075 _____ C:\Users\User\Documents\README.txt
    2020-02-14 21:51 - 2020-02-14 21:51 - 000000075 _____ C:\Users\User\Desktop\README.txt
    2020-02-14 21:40 - 2020-02-14 21:40 - 000000075 _____ C:\Users\User\AppData\Roaming\README.txt
    2020-02-14 21:40 - 2020-02-14 21:40 - 000000075 _____ C:\Users\User\AppData\README.txt
    2020-02-14 21:38 - 2020-02-14 21:38 - 000000075 _____ C:\Users\User\AppData\LocalLow\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\User\AppData\Local\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Public\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Public\Downloads\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default\Downloads\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default\Documents\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default\Desktop\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default\AppData\Roaming\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default\AppData\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default\AppData\Local\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default User\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default User\Downloads\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default User\Documents\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default User\Desktop\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default User\AppData\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\Users\Default User\AppData\Local\README.txt
    2020-02-14 21:19 - 2020-02-14 21:19 - 000000075 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2020-02-14 21:18 - 2020-02-14 21:18 - 000003192 _____ C:\Windows\system32\Tasks\BCBoot
    2020-02-14 21:18 - 2020-02-14 21:18 - 000000075 _____ C:\Users\Все пользователи\README.txt
    2020-02-14 21:18 - 2020-02-14 21:18 - 000000075 _____ C:\Users\Все пользователи\Documents\README.txt
    2020-02-14 21:18 - 2020-02-14 21:18 - 000000075 _____ C:\Users\Все пользователи\Desktop\README.txt
    2020-02-14 21:18 - 2020-02-14 21:18 - 000000075 _____ C:\Users\Public\Documents\README.txt
    2020-02-14 21:18 - 2020-02-14 21:18 - 000000075 _____ C:\Users\Public\Desktop\README.txt
    2020-02-14 21:18 - 2020-02-14 21:18 - 000000075 _____ C:\ProgramData\README.txt
    2020-02-14 21:18 - 2020-02-14 21:18 - 000000075 _____ C:\ProgramData\Documents\README.txt
    2020-02-14 21:18 - 2020-02-14 21:18 - 000000075 _____ C:\ProgramData\Desktop\README.txt
    ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    ContextMenuHandlers2: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\IsoShl64.dll -> No File
    ContextMenuHandlers4: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\IsoShl64.dll -> No File
    ContextMenuHandlers6: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\IsoShl64.dll -> No File
    ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

lexed

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
User (S-1-5-21-3442210828-564957946-3783906836-1000 - Administrator - Enabled) => C:\Users\User
Администратор (S-1-5-21-3442210828-564957946-3783906836-500 - Administrator - Disabled)
Алла (S-1-5-21-3442210828-564957946-3783906836-1001 - Administrator - Enabled) => C:\Users\Алла
Все наши
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,330
Реакции
13,794
Баллы
2,203
На этом все, чем можно помочь.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу