[РЕШЕНО] Помогите, пожалуйста, с дешифровкой

[DrDop 0]

Залетел шифровальщик. DrWeb.CureIT опознал его как "trojan.encoder.3953".

Дело было на сервере. Стоиn Kaspersky Endpoint Security для бизнеса - почему не защитил не знаю.

Расширение у зашифрованных файлов "id-2C0F9F11.[mecrypt@aol.com].html"

Проделал действия как в https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Лог прилагаю.

Прошу помощи.

CollectionLog-2019.07.19-10.27.zip

[SQ 831]

Здравствуйте,

 

Если ориентироваться на расширение, то у вас какой-то новый тип шифровальщика.

На данный момент сказать сложно, если возможно будет расшифровать.

 

- Уточните пожалуйста ваш основной антивирус был приостановлен или выключен?

- Вам удалось понять как это произошло, взломали сервер или пользователь запустил сам вредоносное ПО?

 

 

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

При наличие лицензии на продукты Лаборатории Касперского, выполните следующие инструкции:

https://forum.kasperskyclub.ru/index.php?showtopic=48525

[DrDop 0]

Kaspersky Endpoint Security для бизнеса
Скорее всего взломали

FRST.txt

Addition.txt

[mvs 368]

По разным причинам KES  мог не опознать шифровальщика.

Ради статистики - KSN у вас включен? 

ну и на будущее - рассмотрите вариант настройки защиты согласно статье - https://support.kaspersky.ru/14742

Изменено 19 июля, 2019 пользователем mvs

[DrDop 0]

 

 

Ради статистики - KSN у вас включен? 

Kaspersky оказался выключен. Запустить сейчас его нет возможности, т.к. тоже зашифрован, так что не знаю.

[Sandor 1 253]

Несколько небольших зашифрованных офисных документов упакуйте в архив и прикрепите к следующему сообщению.

[DrDop 0]

Вот примеры файлов

id-2C0F9F11.mecrypt@aol.com.zip

Изменено 19 июля, 2019 пользователем DrDop

[Sandor 1 253]

Увы, это Dharma (.cezar Family), расшифровки нет.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[DrDop 0]

Всем спасибо за усилия и информацию.

[SQ 831]

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".