Перейти к содержимому


Фотография
- - - - -

Шифровальщик с адресом evglenagreen@protonmail.ch зашифровал все файлы

evglenagreen@protonmail.ch Шифровальщик

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 14

#1 OFF   Bibirev

Bibirev

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 29 Январь 2020 - 16:46

Ночью 26.01.2020, компьютер, на котором установлены базы 1С 7.7 был зашифрован вирусом шифровальщиком, который устанавливает расширение зашифрованного файла - [evglenagreen@protonmail.ch][].ххх, где ххх - это произвольный набор трех латинских букв. На компьютере нет почты.

Под учетной записью бухгалтера, под которой было запущено шифрование на рабочем столе появилась папка \test\, с файлом 7.exe ( предположительно - шифровальщик, добавлен во вложении - архив Щифровальщик.rar). В каждой папке с зашифрованным файлами лежит readme.txt - прилагается - в ахиве - архив Щифровальщик.rar.

На компьютер с базами все пользователи заходят по RDP.

Общих папок на нем - нет.

На всех компьютерах сети (кроме компьютера с базами 1C) установлен пакет Kaspersky Total Security 20.0

На зашифрованном компьютере запущен AutoLogger-test, логи во вложении.
Пожалуйста, помогите декодировать файлы.
Спасибо.

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 29 Январь 2020 - 17:01

Здравствуйте!

C:\Program Files\rdp wrapper\rdpwrap.dll - ставили самостоятельно?

Тип вымогателя Cryakl последней версии, расшифровки нет.
Для верности и при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Здесь дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
  • Спасибо x 1
  • Показать
Изображение

#3 OFF   Bibirev

Bibirev

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 29 Январь 2020 - 17:48

Здравствуйте!

C:\Program Files\rdp wrapper\rdpwrap.dll - ставили самостоятельно?

Тип вымогателя Cryakl последней версии, расшифровки нет.
Для верности и при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Здесь дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

Результаты сканирования Farbar Recovery Scan Tool во вложении.

Если не были созданы личные кабинеты на сайте Kasperky Lab. при активации программ, эти коды активации можно использовать при создании личного кабинета?

 

rdpwrap.dll - ставили самостоятельно.

Раньше, для этого компьютера порт 3389 был закрыт для внешнего подключения.

Но, случайно, его открыли + пароль на RDP был очень прост - 5ть одинаковых цифр - вот результат.

 

Спасибо.

Прикрепленные файлы

  • Прикрепленный файл  FRST.txt   32,45К   скачиваний 1
  • Прикрепленный файл  Addition.txt   35,72К   скачиваний 1

Сообщение отредактировал Bibirev: 29 Январь 2020 - 17:53

  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 29 Январь 2020 - 17:56

эти коды активации можно использовать при создании личного кабинета?

Да, можно.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    File: C:\ProgramData\Windows64\Go.vbs
    C:\ProgramData\Windows64\Go.vbs
    Startup: C:\Users\Яна1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk [2017-05-18]
    ShortcutTarget: explorer.lnk -> C:\ProgramData\Windows64\Go.vbs () [File not signed]
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Task: {0C9CBF24-3ABE-4756-B5FC-A5257BA1243E} - System32\Tasks\GoogleUpdate_AD => C:\Users\Alex\AppData\Roaming\Mozilla\cmozilla.exe <==== ATTENTION
    Task: {305D501F-0350-4867-B49C-E8CA6B809060} - System32\Tasks\User_SP => C:\Users\Alex\AppData\Roaming\GoogleSoftware\conhoct.exe
    Task: {74955771-97A2-4AED-81AD-366FF9E20A74} - System32\Tasks\GoogleUpdate_ED => C:\Users\Alex\AppData\Roaming\GoogleSoftware\winlgstart.exe <==== ATTENTION
    Task: {9CC4F3C4-6A76-4212-BED8-025906453304} - System32\Tasks\Optimize_S => C:\Users\Alex\AppData\Roaming\GoogleSoftware\reatek.exe
    Task: {A73B18AB-F503-4FBE-AECF-0A104CEA4F5C} - System32\Tasks\Adobe_HD => C:\Users\Alex\AppData\Roaming\Adobe\AdobeVersion.exe
    2020-01-26 09:21 - 2020-01-26 09:21 - 000000096 _____ C:\Users\Инна\README.txt
    2020-01-26 09:21 - 2020-01-26 09:21 - 000000096 _____ C:\Users\Инна\Downloads\README.txt
    2020-01-26 09:21 - 2020-01-26 09:21 - 000000096 _____ C:\Users\Инна\Documents\README.txt
    2020-01-26 09:21 - 2020-01-26 09:21 - 000000096 _____ C:\Users\Инна\Desktop\README.txt
    2020-01-26 09:21 - 2020-01-26 09:21 - 000000096 _____ C:\Users\Инна\AppData\Roaming\README.txt
    2020-01-26 09:21 - 2020-01-26 09:21 - 000000096 _____ C:\Users\Инна\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2020-01-26 09:21 - 2020-01-26 09:21 - 000000096 _____ C:\Users\Инна\AppData\README.txt
    2020-01-26 09:21 - 2020-01-26 09:21 - 000000096 _____ C:\Users\Инна\AppData\LocalLow\README.txt
    2020-01-26 09:20 - 2020-01-26 09:20 - 000000096 _____ C:\Users\Инна\AppData\Local\README.txt
    2020-01-26 09:20 - 2020-01-26 09:20 - 000000096 _____ C:\Users\Public\README.txt
    2020-01-26 09:19 - 2020-01-26 09:19 - 000000096 _____ C:\Users\Public\Downloads\README.txt
    2020-01-26 09:11 - 2020-01-26 09:11 - 000000096 _____ C:\Users\Все пользователи\README.txt
    2020-01-26 09:11 - 2020-01-26 09:11 - 000000096 _____ C:\Users\Public\Documents\README.txt
    2020-01-26 09:11 - 2020-01-26 09:11 - 000000096 _____ C:\ProgramData\README.txt
    2017-06-18 13:01 - 2017-06-04 21:27 - 002053004 _____ () C:\ProgramData\2.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


C:\Program Files\rdp wrapper\rdpwrap.dll - ставили самостоятельно?

Не ответили.
  • 0
Изображение

#5 OFF   Bibirev

Bibirev

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 29 Январь 2020 - 18:51

C:\Program Files\rdp wrapper\rdpwrap.dll - ставили самостоятельно?

Не ответили.

Прошу прощения, исправлял сообщение, поэтому отправлял по частям:
 
rdpwrap.dll - ставили самостоятельно.
Раньше, для этого компьютера порт 3389 был закрыт для внешнего подключения.
Но, случайно, его открыли + пароль на RDP был очень прост - 5ть одинаковых цифр - вот результат.

Инструкции по выполнению fix - кода выполнил, результат во-вложении.
 
Код активации в ЛК ввел.
При формировании запроса на дешифровку в личном кабинете - полностью дублировать это сообщение?
 
И еще раз - спасибо!

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   6,97К   скачиваний 1

Сообщение отредактировал Sandor: 29 Январь 2020 - 21:11
Поправил BB-code

  • 0

#6 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4 008

Отправлено 29 Январь 2020 - 19:26

Код активации в ЛК ввел.
При формировании запроса на дешифровку в личном кабинете - полностью дублировать это сообщение?

 

Здравствуйте,

Дублировать необязательно, можете указать ссылку на вашу тему.

P.S. при формирование запроса в личном кабинете, кроме детального описание вашей проблемы, не забудьте пожалуйста прикрепить ваш файл Шифровальщик.rar.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
    Start::
    CreateRestorePoint:
    Folder: C:\Users\Alex\AppData\Roaming\Mozilla
    Folder: C:\Users\Alex\AppData\Roaming\GoogleSoftware
    Folder: C:\Users\Alex\AppData\Roaming\Adobe
    End::
    
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • 0

#7 OFF   Bibirev

Bibirev

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 29 Январь 2020 - 21:56


Выполнено.
Результат во вложении.
Кстати, после выполнения FRST64, компьютер не перезагружался...

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   27,56К   скачиваний 1

  • 0

#8 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4 008

Отправлено 30 Январь 2020 - 02:18

Кстати, после выполнения FRST64, компьютер не перезагружался...

Компьютер не должен был перегружаться.  В фиксе были указаны команды только для просмотра содержимого папок, хотел убедиться, что нет больше вредоносного ПО.

P.S. Когда получите ответ от тех. поддержки Лаборатории Касперского, сообщите пожалуйста результат запроса .
  • 0
  • Согласен x 1
  • Показать

#9 OFF   Bibirev

Bibirev

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 30 Январь 2020 - 10:48

Ответ службы поддержки:

INC000011229301
Kaspersky Total Security 2020
Запрос ожидает ответа Службы технической поддержки

 

Пришло второе сообщение, в котором предлагается выслать все, что касается работы антивируса - но на зараженном компьютере антивирус-то и не был установлен, о чем я писал выше.


  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 30 Январь 2020 - 11:17

на зараженном компьютере антивирус-то и не был установлен

Так там и сообщите. И добавьте, что интересует только возможность расшифровки.
  • 0
Изображение

#11 OFF   Bibirev

Bibirev

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 30 Январь 2020 - 11:48

Написал.


  • 0

#12 OFF   Bibirev

Bibirev

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 30 Январь 2020 - 13:55

Служба поддержки ответила грустно....

 

Благодарим за уточнение.

По Вашим файлам проведена проверка. Установлено, что файлы зашифрованы Trojan-Ransom.Win32.Cryakl.. Для шифрования используется криптографически стойкий алгоритм, поэтому расшифровка файлов, к сожалению, не представляется возможной на сегодняшний день. Вполне возможно, что в будущем ключ дешифровки всё-таки будет найден и нам удастся восстановить зашифрованные данные, поэтому рекомендуем Вам не удалять зашифрованные файлы и следить за обновлениями утилиты на нашем сайте: https://support.kasp...viruses/utilityили https://www.nomorera...g/ru/index.html Во избежание возможной потери данных в будущем, если Вы используете продукты Лаборатории Касперского, крайне важно использовать актуальную версию нашего продукта: https://kas.pr/store и держать компонент Мониторинг Активности включенным, с ним риск потери файлов сводится к минимуму.

Подробнее о механизме работы компонента можно почитать в нашей базе знаний: https://support.kaspersky.ru/14688К сожалению, это пока всё, что мы можем сделать. Благодарим за понимание.


  • 0
  • Спасибо x 1
  • Показать

#13 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 30 Январь 2020 - 14:04

Если есть возможность отложить в "долгий ящик" поврежденные файлы, так и сделайте.

Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • 1
  • Спасибо x 1
  • Показать
Изображение

#14 OFF   Bibirev

Bibirev

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 30 Январь 2020 - 14:47

Результат проверки во вложении.

Прикрепленные файлы


  • 0

#15 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 30 Январь 2020 - 14:51

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.1045.10586.0 Внимание! Скачать обновления
Контроль учётных записей пользователя включен (Уровень 2)
--------------------------- [ OtherUtilities ] ----------------------------
Oracle VM VirtualBox 5.1.6 v.5.1.6 Внимание! Скачать обновления
Microsoft Office Стандартный 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer 11 v.11.0.76421 Внимание! Скачать обновления
Microsoft Office Standard 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления
WinRAR 5.21 v.5.21 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 54.0.1 (x86 ru) v.54.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

Прочтите личные сообщения.
Возьмите на заметку - Рекомендации после удаления вредоносного ПО
  • 0
  • Спасибо x 1
  • Показать
Изображение





Темы с аналогичными тегами: evglenagreen@protonmail.ch, Шифровальщик

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных