Поймали Шифровальщика. Файлы Зашифрованы от 03,11,2019. Запуск был от пользователя rdp со слабым паролем(недосмотрел блин).
Результаты Farbar Recovery Scan Tool прилагаю
В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.
Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».
Отправлено 12 Ноябрь 2019 - 14:09
Не забудьте сменить пароль, а также пересмотрите большое количество администраторов системы, все ли нужны.Запуск был от пользователя rdp со слабым паролем
Start:: CreateRestorePoint: Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-11-09] () [File not signed] FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/offline/bin/tools/run.hta" "17.7.73 Offline" "1549021994641" "d401a645-61f3-4755-856c-4b31afdfdacd" Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F CHR StartupUrls: Default -> "hxxp://mypoisk.su/" CHR DefaultSearchURL: Default -> hxxp://searchtds.ru/?ref=6cd8t&q={searchTerms}&do=search&subaction=search&subId=764sbor CHR DefaultSearchKeyword: Default -> mail.ru 2019-11-09 12:24 - 2019-11-09 12:24 - 000116470 _____ C:\Users\user1\Downloads\local.exe.id-5CA9713F.[cryptocash@aol.com].CASH 2019-11-03 13:01 - 2019-11-09 12:24 - 000013922 _____ C:\Users\user1\AppData\Roaming\Info.hta 2019-11-03 13:00 - 2019-11-09 12:24 - 000000220 _____ C:\Users\user1\Desktop\FILES ENCRYPTED.txt Reboot: End::
Отправлено 12 Ноябрь 2019 - 17:32
Здравствуйте!
Расшифровки этой версии вымогателя нет, к сожалению.
Не забудьте сменить пароль, а также пересмотрите большое количество администраторов системы, все ли нужны.Запуск был от пользователя rdp со слабым паролем
Компьютер будет перезагружен автоматически.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Start:: CreateRestorePoint: Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-11-09] () [File not signed] FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/offline/bin/tools/run.hta" "17.7.73 Offline" "1549021994641" "d401a645-61f3-4755-856c-4b31afdfdacd" Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F CHR StartupUrls: Default -> "hxxp://mypoisk.su/" CHR DefaultSearchURL: Default -> hxxp://searchtds.ru/?ref=6cd8t&q={searchTerms}&do=search&subaction=search&subId=764sbor CHR DefaultSearchKeyword: Default -> mail.ru 2019-11-09 12:24 - 2019-11-09 12:24 - 000116470 _____ C:\Users\user1\Downloads\local.exe.id-5CA9713F.[cryptocash@aol.com].CASH 2019-11-03 13:01 - 2019-11-09 12:24 - 000013922 _____ C:\Users\user1\AppData\Roaming\Info.hta 2019-11-03 13:00 - 2019-11-09 12:24 - 000000220 _____ C:\Users\user1\Desktop\FILES ENCRYPTED.txt Reboot: End::- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Видны контрольные точки.
Пробуйте восстановить файлы средствами Windows.
Только будьте внимательны, это не значит откатить всю систему.
Вот
Отправлено 13 Ноябрь 2019 - 09:01
Да над восстановлением я как то особо не парюсь) есть образ почти всего что было на дисках(благо базу фаербёрда не тронул), просто хочется на 100% быть уверенным что шифратора нет в системе. А так через кого зашли и почему смогли зайти ясно как белый день, 2й раз на эти грабли наступаю. 1но НО на практике даже Сильные пароли не всегда спасают если у клиента РДП на его устройствах слабая защита или пользователь совсем тапочек.
Отправлено 13 Ноябрь 2019 - 09:10
По логам не видно.шифратора нет в системе
![]() |
Помощь →
Уничтожение вирусов →
Поймал шифровальщик wannacashАвтор Александр Войтенко , 03 дек 2019 ![]() |
|
![]()
|
|
![]() |
Помощь →
Уничтожение вирусов →
Зашифрован imdecrypt@aol.comАвтор Edik , 02 дек 2019 ![]() |
|
![]()
|
|
![]() |
Помощь →
Уничтожение вирусов →
[maximum@onlinehelp.host ].harmaАвтор frion89 , 18 ноя 2019 ![]() |
|
![]()
|
|
![]() |
Помощь →
Уничтожение вирусов →
Шифровальщик GOLD на WindowsАвтор dmitroff85 , 17 ноя 2019 ![]() |
|
![]()
|
|
![]() |
Помощь →
Уничтожение вирусов →
Шифровальщик [veerafa@airmail.cc].bot зашифровал файлыАвтор genapm , 12 ноя 2019 ![]() |
|
![]()
|
0 пользователей, 0 гостей, 0 анонимных