• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Зашифровались файлы

ivan-e

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
Здравствуйте.
Сегодня утром обнаружил, что файлы были зашифрованы. Сразу отключил доступ по rdp.
Подскажите, как для оказания помощи найти тело шифровальщика?
Спасибо
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,597
Реакции
1,860
Баллы
563
Здравствуйте!

Тела скорее всего уже нет.

Пока почистим мусор.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    2019-10-31 02:53 - 2019-10-31 02:53 - 000000172 _____ C:\Users\User\AppData\Roaming\kWYZrzIYZR.html
    2019-10-31 02:52 - 2019-10-31 02:52 - 000004969 _____ C:\Users\User\Desktop\=_BACK_FILES_~.html
    2019-10-31 02:51 - 2019-10-31 02:52 - 000004969 _____ C:\Users\User\Documents\=_BACK_FILES_~.html
    2019-10-31 02:51 - 2019-10-31 02:52 - 000004969 _____ C:\Users\User\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-31 02:51 - 2019-10-31 02:52 - 000004969 _____ C:\Users\User\AppData\LocalLow\=_BACK_FILES_~.html
    2019-10-31 02:48 - 2019-10-31 02:52 - 000004969 _____ C:\Users\User\AppData\Local\=_BACK_FILES_~.html
    2019-10-31 02:48 - 2019-10-31 02:52 - 000004969 _____ C:\Users\User\AppData\=_BACK_FILES_~.html
    2019-10-31 02:48 - 2019-10-31 02:52 - 000004969 _____ C:\Users\User\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\Public\Documents\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\Public\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\DefaultAppPool\Documents\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\DefaultAppPool\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\DefaultAppPool\AppData\Local\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\DefaultAppPool\AppData\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\DefaultAppPool\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\Default\Documents\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\Default\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\Default\AppData\Local\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\Default\AppData\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\Default\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\Default User\Documents\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\Default User\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\Default User\AppData\Local\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\Default User\AppData\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\Default User\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\Classic .NET AppPool\Documents\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\Classic .NET AppPool\AppData\Local\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\Classic .NET AppPool\AppData\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\Classic .NET AppPool\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v4.5\Documents\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v4.5\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v4.5\AppData\Local\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v4.5\AppData\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v4.5\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v4.5 Classic\Documents\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v4.5 Classic\AppData\Local\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v4.5 Classic\AppData\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v4.5 Classic\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v2.0\Documents\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v2.0\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v2.0\AppData\Local\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v2.0\AppData\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v2.0\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v2.0 Classic\Documents\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v2.0 Classic\AppData\Roaming\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v2.0 Classic\AppData\Local\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v2.0 Classic\AppData\=_BACK_FILES_~.html
    2019-10-31 02:47 - 2019-10-31 02:52 - 000004969 _____ C:\Users\.NET v2.0 Classic\=_BACK_FILES_~.html
    2019-10-31 02:46 - 2019-10-31 02:52 - 000004969 _____ C:\Users\Все пользователи\=_BACK_FILES_~.html
    2019-10-31 02:46 - 2019-10-31 02:52 - 000004969 _____ C:\ProgramData\=_BACK_FILES_~.html
    2019-10-31 02:42 - 2019-10-31 02:52 - 000004969 _____ C:\Program Files (x86)\=_BACK_FILES_~.html
    2019-10-31 02:40 - 2019-10-31 02:52 - 000004969 _____ C:\Program Files\Common Files\=_BACK_FILES_~.html
    2019-10-31 02:37 - 2019-10-31 02:52 - 000004969 _____ C:\Program Files\=_BACK_FILES_~.html
    2019-10-31 02:36 - 2019-10-31 02:52 - 000004969 _____ C:\=_BACK_FILES_~.html
    2019-10-31 02:36 - 2019-10-31 02:36 - 000001612 _____ C:\Users\User\Documents\kfGnrbH.html
    2019-10-31 02:36 - 2019-10-31 02:36 - 000001612 _____ C:\Users\User\AppData\Roaming\kfGnrbH.html
    2019-10-31 02:36 - 2019-10-31 02:36 - 000001612 _____ C:\Program Files\kfGnrbH.html
    2019-10-31 02:36 - 2019-10-31 02:36 - 000000002 _____ C:\Users\User\AppData\Roaming\GavyZYQ.html
    FirewallRules: [TCP Query User{48273817-E8F1-438A-87BA-8AEFA71AC6F0}C:\users\user\downloads\anydesk.exe] => (Allow) C:\users\user\downloads\anydesk.exe No File
    FirewallRules: [UDP Query User{DB791D82-C3C7-423F-A68A-E8669A7F26D1}C:\users\user\downloads\anydesk.exe] => (Allow) C:\users\user\downloads\anydesk.exe No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

ivan-e

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
Файл во вложении
Так же нашел следующие файлы в папке "Изображения"
 

Вложения

Последнее редактирование:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,597
Реакции
1,860
Баллы
563
Подождите ответа @thyrex
 

akok

Команда форума
Администратор
Сообщения
17,984
Реакции
13,570
Баллы
2,203
Вложение удалил, антивирус ругается.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,761
Реакции
2,540
Баллы
593
ParadiseTeam Ransomware. Расшифровки нет.
 
Последнее редактирование:

ivan-e

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
Спасибо. Есть вероятность появления алгоритма расшифрования в ближайшее время?
 

akok

Команда форума
Администратор
Сообщения
17,984
Реакции
13,570
Баллы
2,203
Если не случится "чуда", то нет.
 
Сверху Снизу