• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Зашифрованы файлы [email protected]

Slusher

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
Добрый день!

зашифровали комп с 1с [email protected] при сканировании cureit нашел файл svcwcs.exe (троян muldrop13.23233, пока его не трогали)
Просим помочь восстановить БД 1с.


прикрепляю логи, пару файлов зашифрованных, и отдельно файл-записка
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,736
Реакции
2,064
Баллы
643
Здравствуйте!

К сожалению это Crylock 2.0.0.0, расшифровки нет.
Можем только почистить следы и мусор.
 
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
нашел файл svcwcs.exe
Удаляйте, он не связан с шифровальщиком и судя по логу неактивен. По поводу 1с, смотрите подпись.

Политики сами настраивали?
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-154204768-3658705325-1725850442-1000\...\Run: [1ADFF931-110AF47Ahta] => c:\temp\how_to_decrypt.hta <==== ATTENTION
    Task: {68980085-9D1F-42AE-81A6-54E830AFBD12} - \CCleaner Update -> No File <==== ATTENTION
    2020-08-03 03:32 - 2020-08-03 03:32 - 000005917 _____ () C:\Users\Boss\AppData\Roaming\how_to_decrypt.hta
    2020-08-03 03:32 - 2020-08-03 03:32 - 000005917 _____ () C:\Users\Boss\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2020-08-03 03:21 - 2020-08-03 03:21 - 000005917 _____ () C:\Users\Boss\AppData\Local\how_to_decrypt.hta
    2020-08-03 03:33 - 2020-08-03 03:33 - 000005917 _____ C:\Users\Public\how_to_decrypt.hta
    2020-08-03 03:33 - 2020-08-03 03:33 - 000005917 _____ C:\Users\Default\how_to_decrypt.hta
    2020-08-03 03:33 - 2020-08-03 03:33 - 000005917 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-08-03 03:33 - 2020-08-03 03:33 - 000005917 _____ C:\Users\Default User\how_to_decrypt.hta
    2020-08-03 03:33 - 2020-08-03 03:33 - 000005917 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-08-03 03:33 - 2020-08-03 03:33 - 000005917 _____ C:\how_to_decrypt.hta
    2020-08-03 03:32 - 2020-08-03 03:32 - 000005917 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2020-08-03 03:32 - 2020-08-03 03:32 - 000005917 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2020-08-03 03:32 - 2020-08-03 03:32 - 000005917 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2020-08-03 03:32 - 2020-08-03 03:32 - 000005917 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2020-08-03 03:32 - 2020-08-03 03:32 - 000005917 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
    2020-08-03 03:32 - 2020-08-03 03:32 - 000005917 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
    2020-08-03 03:32 - 2020-08-03 03:32 - 000005917 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
    2020-08-03 03:32 - 2020-08-03 03:32 - 000005917 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
    2020-08-03 03:32 - 2020-08-03 03:32 - 000005917 _____ C:\Users\Boss\how_to_decrypt.hta
    2020-08-03 03:32 - 2020-08-03 03:32 - 000005917 _____ C:\Users\Boss\Desktop\how_to_decrypt.hta
    2020-08-03 03:32 - 2020-08-03 03:32 - 000005917 _____ C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-08-03 03:32 - 2020-08-03 03:32 - 000005917 _____ C:\Users\Boss\AppData\Roaming\how_to_decrypt.hta
    2020-08-03 03:32 - 2020-08-03 03:32 - 000005917 _____ C:\Users\Boss\AppData\LocalLow\how_to_decrypt.hta
    2020-08-03 03:32 - 2020-08-03 03:32 - 000005917 _____ C:\Users\Boss\AppData\how_to_decrypt.hta
    2020-08-03 03:21 - 2020-08-03 03:21 - 000005917 _____ C:\Users\Boss\AppData\Local\Apps\how_to_decrypt.hta
    2020-08-03 03:20 - 2020-08-03 03:20 - 000005917 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-08-03 03:20 - 2020-08-03 03:20 - 000005917 _____ C:\Users\Все пользователи\Desktop\how_to_decrypt.hta
    2020-08-03 03:20 - 2020-08-03 03:20 - 000005917 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2020-08-03 03:20 - 2020-08-03 03:20 - 000005917 _____ C:\Users\how_to_decrypt.hta
    2020-08-03 03:20 - 2020-08-03 03:20 - 000005917 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-08-03 03:20 - 2020-08-03 03:20 - 000005917 _____ C:\ProgramData\how_to_decrypt.hta
    2020-08-03 03:20 - 2020-08-03 03:20 - 000005917 _____ C:\ProgramData\Desktop\how_to_decrypt.hta
    ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
    ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
    ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
    ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
    ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
    ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    ContextMenuHandlers1_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
    ContextMenuHandlers4_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
    ContextMenuHandlers5_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Меняйте пароли на RDP, и лучше скрыть порт за VPN. Проверьте сервера в сети, могли и их зашифровать.
 

Slusher

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
политику наверно сами администратор сети

файл прикрепляю
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,736
Реакции
2,064
Баллы
643
Больше помочь нечем.
 
  • Like
Реакции: akok

Slusher

Новый пользователь
Сообщения
3
Реакции
0
Баллы
1
файлы не восстановить?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,736
Реакции
2,064
Баллы
643
С базами ещё есть шанс, а с файлами - увы...

Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
  • Like
Реакции: akok
Сверху Снизу