Сообщений в теме: 7

[Abygejl]

Добрый день. На сервере поработал шифровальщик.
Расширение всех файлов стало .[MerlinWebster@aol.com].harma

Есть ли возможность дешифровки? Или только восстанавливать информацию через тени и восстановление?

[Sandor]

Здравствуйте!

Порядок оформления запроса о помощи

Пару зашифрованных документов вместе с запиской о выкупе (при наличии такой) упакуйте в архив и тоже прикрепите к следующему сообщению.

[Abygejl]

Не получается скачать логгер, ни по прямой ссылке, ни через зеркало

Здравствуйте!

Порядок оформления запроса о помощи

Пару зашифрованных документов вместе с запиской о выкупе (при наличии такой) упакуйте в архив и тоже прикрепите к следующему сообщению.

[Sandor]

Скачивается успешно. Пробуйте другим браузером или на другом компьютере.

[Abygejl]

Спасибо, получилось.

Прикрепленные файлы

•  CollectionLog-2020.01.20-01.04.zip   58,22К   скачиваний 2
•  files.zip   49,23К   скачиваний 1

[Sandor]

Да, тип вымогателя Dharma (.cezar Family) или Crusis по терминологии ЛК. К сожалению, расшифровки нет.
Будет только зачистка следов.

"Пофиксите" в HijackThis:

O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^1601.exe [backup] = C:\Windows\pss\1601.exe.CommonStartup (2020/01/19)
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta [backup] = C:\Windows\pss\Info.hta.CommonStartup (2020/01/19)
O4 - MSConfig\startupreg: 1601.exe [command] = C:\Users\42ska\AppData\Roaming\1601.exe (HKLM) (2020/01/19) (file missing)
O4 - MSConfig\startupreg: C: [command] =  (2020/01/19) (no file)
O4 - MSConfig\startupreg: Open Server [command] =  (2020/01/19) (no file)
O22 - Task: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1 (file missing)

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[Abygejl]

Спасибо, получилось

Прикрепленные файлы

•  Addition.txt   18,47К   скачиваний 1
•  FRST.txt   33,24К   скачиваний 1

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  2020-01-16 22:45 - 2020-01-19 23:11 - 000013928 _____ C:\Windows\system32\Info.hta
  2020-01-16 22:45 - 2020-01-19 23:11 - 000013928 _____ C:\Users\42ska\AppData\Roaming\Info.hta
  2020-01-16 22:45 - 2020-01-19 23:11 - 000000176 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
  2020-01-16 22:45 - 2020-01-19 23:11 - 000000176 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
  2020-01-16 22:45 - 2020-01-19 23:11 - 000000176 _____ C:\Users\42ska\Desktop\FILES ENCRYPTED.txt
  2020-01-16 22:45 - 2020-01-19 23:11 - 000000176 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
  2020-01-16 22:45 - 2020-01-19 23:11 - 000000176 _____ C:\FILES ENCRYPTED.txt
  Quarantine: C:\Windows\system32\1601.exe
  Zip: c:\FRST\Quarantine\
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.
 
Подробнее читайте в этом руководстве.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.