-
Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Решена с расшифровкой. Зашифрован виндовс 2008
- Автор темы twixers
- Дата начала
- Статус
- Сообщения
- 25,318
- Решения
- 7
- Реакции
- 13,842
Что-то знакомое? Запускалось с внешнего накопителя
HKU\S-1-5-21-1137068239-2368128979-3795345146-1116\...\MountPoints2: {2fead552-43c7-11e2-b97f-806e6f6e6963} - E:\Run.exe
Проверьте список администраторов, нет ли лишних пользователей
Administrator (S-1-5-21-998822781-3121972130-669303095-500 - Administrator - Enabled)
root (S-1-5-21-1137068239-2368128979-3795345146-1107 - Administrator - Enabled) => C:\Users\root
ega (S-1-5-21-1137068239-2368128979-3795345146-1115 - Administrator - Enabled) => C:\Users\ega
bei (S-1-5-21-1137068239-2368128979-3795345146-1116 - Administrator - Enabled) => C:\Users\bei
kr (S-1-5-21-1137068239-2368128979-3795345146-1118 - Administrator - Enabled) => C:\Users\kr
ibtorg (S-1-5-21-1137068239-2368128979-3795345146-1136 - Administrator - Disabled) => C:\Users\ibtorg
admin$ (S-1-5-21-1137068239-2368128979-3795345146-1142 - Administrator - Enabled) => C:\Users\ADMIN$
Подробнее читайте в этом руководстве.
По поводу расшифровки, в начале нужно опознать вымогателя, попросил коллегу, посмотреть (@thyrex )
HKU\S-1-5-21-1137068239-2368128979-3795345146-1116\...\MountPoints2: {2fead552-43c7-11e2-b97f-806e6f6e6963} - E:\Run.exe
Проверьте список администраторов, нет ли лишних пользователей
Administrator (S-1-5-21-998822781-3121972130-669303095-500 - Administrator - Enabled)
root (S-1-5-21-1137068239-2368128979-3795345146-1107 - Administrator - Enabled) => C:\Users\root
ega (S-1-5-21-1137068239-2368128979-3795345146-1115 - Administrator - Enabled) => C:\Users\ega
bei (S-1-5-21-1137068239-2368128979-3795345146-1116 - Administrator - Enabled) => C:\Users\bei
kr (S-1-5-21-1137068239-2368128979-3795345146-1118 - Administrator - Enabled) => C:\Users\kr
ibtorg (S-1-5-21-1137068239-2368128979-3795345146-1136 - Administrator - Disabled) => C:\Users\ibtorg
admin$ (S-1-5-21-1137068239-2368128979-3795345146-1142 - Administrator - Enabled) => C:\Users\ADMIN$
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CreateRestorePoint: VirusTotal: C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe Startup: C:\Users\ADMIN$\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed] Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed] Startup: C:\Users\bei\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed] Startup: C:\Users\ega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed] Startup: C:\Users\ibtorg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed] Startup: C:\Users\ivanovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed] Startup: C:\Users\kr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed] Startup: C:\Users\loi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed] Startup: C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed] Startup: C:\Users\user2017\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed] Startup: C:\Users\vev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2019-11-05] () [File not signed] 2019-11-05 01:04 - 2019-11-05 01:04 - 000000926 _____ C:\Windows\Tasks\HOW TO DECRYPT FILES.txt 2019-11-05 01:04 - 2019-11-05 01:04 - 000000926 _____ C:\Windows\SysWOW64\HOW TO DECRYPT FILES.txt 2019-11-05 01:04 - 2019-11-05 01:04 - 000000926 _____ C:\Windows\SysWOW64\Drivers\HOW TO DECRYPT FILES.txt 2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Windows\HOW TO DECRYPT FILES.txt 2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\HOW TO DECRYPT FILES.txt 2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\Downloads\HOW TO DECRYPT FILES.txt 2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\Documents\HOW TO DECRYPT FILES.txt 2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\Desktop\HOW TO DECRYPT FILES.txt 2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt 2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\vev\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt 2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\HOW TO DECRYPT FILES.txt 2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\Downloads\HOW TO DECRYPT FILES.txt 2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\Documents\HOW TO DECRYPT FILES.txt 2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\Desktop\HOW TO DECRYPT FILES.txt 2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt 2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt 2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\user2017\AppData\Local\Temp\HOW TO DECRYPT FILES.txt 2019-11-05 01:01 - 2019-11-05 01:01 - 000000926 _____ C:\Users\root\HOW TO DECRYPT FILES.txt 2019-11-05 01:00 - 2019-11-05 01:00 - 000000926 _____ C:\Users\root\Downloads\HOW TO DECRYPT FILES.txt 2019-11-05 01:00 - 2019-11-05 01:00 - 000000926 _____ C:\Users\root\Documents\HOW TO DECRYPT FILES.txt 2019-11-05 00:59 - 2019-11-05 00:59 - 000000926 _____ C:\Users\root\Desktop\HOW TO DECRYPT FILES.txt 2019-11-05 00:59 - 2019-11-05 00:59 - 000000926 _____ C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt 2019-11-05 00:59 - 2019-11-05 00:59 - 000000926 _____ C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt 2019-11-05 00:58 - 2019-11-05 00:58 - 000000926 _____ C:\Users\root\AppData\Local\Temp\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\Downloads\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\Documents\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Public\Desktop\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\Downloads\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\Documents\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\Desktop\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\loi\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\Downloads\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\Documents\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\Desktop\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\kr\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\Downloads\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\Documents\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\Desktop\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ivanovo\AppData\Local\Temp\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\Downloads\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\Documents\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\Desktop\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ibtorg\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\Downloads\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\Documents\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\Desktop\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\ega\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Default\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\Default User\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\Users\bei\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\ProgramData\Documents\HOW TO DECRYPT FILES.txt 2019-11-05 00:57 - 2019-11-05 00:57 - 000000926 _____ C:\ProgramData\Desktop\HOW TO DECRYPT FILES.txt 2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\Downloads\HOW TO DECRYPT FILES.txt 2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\Documents\HOW TO DECRYPT FILES.txt 2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\Desktop\HOW TO DECRYPT FILES.txt 2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt 2019-11-05 00:56 - 2019-11-05 00:56 - 000000926 _____ C:\Users\bei\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt 2019-11-05 00:53 - 2019-11-05 00:53 - 000000926 _____ C:\Users\bei\AppData\Local\Temp\HOW TO DECRYPT FILES.txt 2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\HOW TO DECRYPT FILES.txt 2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\Downloads\HOW TO DECRYPT FILES.txt 2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\Documents\HOW TO DECRYPT FILES.txt 2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\Desktop\HOW TO DECRYPT FILES.txt 2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt 2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt 2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\Administrator\AppData\Local\Temp\HOW TO DECRYPT FILES.txt 2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\HOW TO DECRYPT FILES.txt 2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\Downloads\HOW TO DECRYPT FILES.txt 2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\Documents\HOW TO DECRYPT FILES.txt 2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\Desktop\HOW TO DECRYPT FILES.txt 2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt 2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt 2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\Users\ADMIN$\AppData\Local\Temp\HOW TO DECRYPT FILES.txt 2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt 2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\ProgramData\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt 2019-11-05 00:47 - 2019-11-05 00:47 - 000000926 _____ C:\ProgramData\HOW TO DECRYPT FILES.txt 2019-11-05 00:45 - 2019-11-05 00:45 - 000000926 _____ C:\Program Files (x86)\HOW TO DECRYPT FILES.txt 2019-11-05 00:41 - 2019-11-05 00:41 - 000000926 _____ C:\Program Files\HOW TO DECRYPT FILES.txt 2019-11-05 00:41 - 2019-11-05 00:41 - 000000926 _____ C:\HOW TO DECRYPT FILES.txt 2019-11-05 00:41 - 2019-11-05 00:41 - 000000926 _____ () C:\Program Files\HOW TO DECRYPT FILES.txt 2019-11-05 00:45 - 2019-11-05 00:45 - 000000926 _____ () C:\Program Files (x86)\HOW TO DECRYPT FILES.txt 2019-11-05 00:50 - 2019-11-05 00:50 - 000000926 _____ () C:\Users\bei\AppData\Local\HOW TO DECRYPT FILES.txt ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File ContextMenuHandlers4-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File WMI:subscription\__EventFilter->fuckyoumm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
По поводу расшифровки, в начале нужно опознать вымогателя, попросил коллегу, посмотреть (@thyrex )
Добрый день прилагаю fixlog.txt
Последнее редактирование:
- Сообщения
- 3,885
- Реакции
- 2,432
В расшифровке Вам поможет Emsisoft Decryptor for Xorist
Распакуйте в папку со скачанным дешифратором пару файлов из вложения
Инструкция по применению на английском https://decrypter.emsisoft.com/howtos/emsisoft_howto_xorist.pdf
Ключ будет подобран где-то после 23%
Учтите, что из-за длинного нового расширения, которое получили зашифрованные файлы, возможно возникновение проблемы с длинными путями к файлам.
Это может быть критично на старых системах файловой системой FAT32. Возникнет ли проблема на NTFS-разделах, ответить затрудняюсь. Поэтому зашифрованные файлы удаляйте только после проверки корректности расшифровки.
Результат расшифровки сообщите.
Распакуйте в папку со скачанным дешифратором пару файлов из вложения
Инструкция по применению на английском https://decrypter.emsisoft.com/howtos/emsisoft_howto_xorist.pdf
Ключ будет подобран где-то после 23%
Учтите, что из-за длинного нового расширения, которое получили зашифрованные файлы, возможно возникновение проблемы с длинными путями к файлам.
Это может быть критично на старых системах файловой системой FAT32. Возникнет ли проблема на NTFS-разделах, ответить затрудняюсь. Поэтому зашифрованные файлы удаляйте только после проверки корректности расшифровки.
Результат расшифровки сообщите.
Спасибо вам большое ребята! Все дешифровалось без проблем, файлы восстановлены!
- Статус
Похожие темы
- Закрыта
Решена с расшифровкой.
файл зашифрован. тип файла WannaCash
