Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

поймал вирус на сервере файл зашифрован резервные копии были  на этом же компьютере.как можно расшифровать помогите 

Опубликовано

Здравствуйте!

 

Какой пароль на архив?

Опубликовано

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна или планируете переустановку?

Опубликовано

очнь жаль.переустановлю системы .единственное что письмо от них ввиде ехе файла .а я переделал на тестовое

Опубликовано
20 минут назад, maksim gerasimov сказал:

письмо от них ввиде ехе файла

Вероятно всё же не exe, а hta.

 

Пароли на учётки администраторов смените, также как и пароли на подключение по RDP. Его следует прятать за VPN.

 

Уязвимые места и устаревшее критическое ПО можете проверять с помощью SecurityCheck.

Опубликовано

спасибо .если переслать hta тоже не как не поможет

Опубликовано

Нет, не поможет. Тип вымогателя опознан по зараженному файлу, а не по файлу с требованием выкупа.

Опубликовано

а можно определить тип шифрования

Опубликовано

Я его указал тэгом к этой теме - Crylock 2.0

  • 1 месяц спустя...
Опубликовано (изменено)

@maksim gerasimov, для вас хорошие новости, есть расшифровка.

Вот содержимое бывшего зашифрованного файла backup.bat, который вы прикрепили для образца. (Всем, читающим эту тему - под спойлером совершенно посторонний файл, к расшифровке не имеющий отношения).

Спойлер

 

@echo on
SetLocal EnableDelayedExpansion

set PGPASSWORD=tomcat
set PQDBNAME=UAPOS
set PGPATH="C:\Program Files\PostgreSQL\9.5\bin"
set name_pass_conn=-h localhost -p 5432 -U isd
Set DST=D:\%PQDBNAME%
set POINT=LUXWUNE
Set OLD=60


if exist "C:\Program Files\PostgreSQL\9.5\bin\pg_dump.exe" set PGPATH="C:\Program Files\PostgreSQL\9.5\bin"
if exist "C:\Program Files\PostgreSQL\9.5\bin\pg_dump.exe" set PGPATH="C:\Program Files\PostgreSQL\9.5\bin"


for /F "eol= tokens=1,2,3 delims=." %%i in ('cmd.exe /C date /T') do set RESULT=%%k%%j%%i
set RESULT=%RESULT:~0,4%%RESULT:~5,4%

%PGPATH%\pg_dump.exe -i %name_pass_conn% -F c -f %DST%\%RESULT%.%POINT%.backup %PQDBNAME%
%PGPATH%\vacuumdb.exe -z %name_pass_conn% -d %PQDBNAME%


REM  Удаление старинных бекапов

For /F "Delims=" %%i In ('DIR /B/O:-D/A:D %DST%\????.??.??') Do (
   Set /A OLD-=1
   If !OLD! LSS 0 (RD /S/Q "%DST%\%%i") else (
   "%DST%\..\..\bin\rar.exe" a -df -m5 -y -ep1 %DST%\%%i\%%i.rar  %DST%\%%i\*.sql
)
)


Set OLD=60

For /F "Delims=" %%i In ('DIR /B/O:-D/A:-D %DST%\*.backup') Do (
   Set /A OLD-=1
   If !OLD! LSS 0 del /F/Q "%DST%\%%i"
)

 

 

Инструкцию отправил личным сообщением.

Изменено пользователем Sandor
Опубликовано

Спасибо большое расшифровались 90 процентов файлов.правдо базу данных уже подняли из архивов.

Опубликовано

Отлично!

Если вопросов больше нет, эту тему закрою.

 

Проверить сервер на уязвимые места можно так:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  • thyrex изменил название на [РАСШИФРОВАНО] [hopeandhonest@smime.ninja].[00E014E0-C4900948] как расшифровать файл

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Drozdovanton
      Автор Drozdovanton
      Помогите пожалуйста расшифровать данные, прикрепить данные не могу так как ограничение по расширению файлов
    • ernesto93
      Автор ernesto93
      подобрали пароль к учетке у которой права Администратора отключили KES запароленый (KES был установлен на зараженную машину Сам виноват).
      4.jpg[paybackformistake@qq.com].zip 123123123.txt[paybackformistake@qq.com].zip
    • gnm82
      Автор gnm82
      Здравствуйте. Такая же проблема, но нашелся батник и исполняемые файлы шифровальщика, могут ли они помочь в расшифровке?
      crylock.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Maroder
      Автор Maroder
      Прошу помощи в расшифровке файлов. Все файлы с расширением: [extremessd@onionmail.org].[3E72A29B-88753196]
      После  попадания вируса, система была переустановлена. 
      Файл с требованиями.rar Поврежденные файлы.rar
    • Евгений111
      Автор Евгений111
      Поймал по rdp шифровальщика, помогите пожалуйста. Необходимые файлы вложил.
      архив.rar Addition.txt FRST.txt
×
×
  • Создать...