Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Еще один криптовирус

Андрей Левченко

Автор Андрей Левченко
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Андрей Левченко

Андрей Левченко

Опубликовано
Опубликовано

блокнотики redme с записью

ATTENTION!
Your computer was attacked by trojan called cryptolocker. All your files are encrypted with cryptographically strong algorithm, and without original decryption key recovery is impossible.
To get your unique key and decode your files, you need to write us at email written below during 72 hours,  otherwise your files will be destroyed forever!
salazar_slytherin10@yahoo.com
salazar_slytherin10@yahoo.com
 
Было ли у кого такое чудо? и как бороться.
 
P.S. Эта падлюка задела самое святое, базы 1с
Sandor

Sandor

Опубликовано
Опубликовано

Логи сделаны в терминальной сессии, сделайте их из консоли, т.е. на самом сервере.

Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
SearchScopes: HKU\S-1-5-21-1683288150-397165925-2814032489-500 -> Yandex URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1683288150-397165925-2814032489-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2016-09-11 22:42 - 2016-09-11 22:42 - 00000420 _____ C:\Users\Public\README.txt
2016-09-11 22:42 - 2016-09-11 22:42 - 00000420 _____ C:\README.txt
2016-09-11 22:41 - 2016-09-11 22:42 - 00000420 _____ C:\Users\Все пользователи\README.txt
2016-09-11 22:41 - 2016-09-11 22:42 - 00000420 _____ C:\Users\Public\Documents\README.txt
2016-09-11 22:41 - 2016-09-11 22:42 - 00000420 _____ C:\ProgramData\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\Public\Downloads\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\irina\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\irina\Downloads\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\irina\Documents\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\irina\Desktop\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\irina\AppData\Roaming\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\irina\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\irina\AppData\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\irina\AppData\LocalLow\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\irina\AppData\Local\Temp\README.txt
2016-09-11 21:37 - 2016-09-11 22:42 - 00000000 ____D C:\Users\irina\AppData\Local\Temp\WinRar
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перегрузите сервер вручную.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Включите Восстановление системы

Не включили.

 

Смените все важные пароли. С расшифровкой не поможем.

Андрей Левченко

Андрей Левченко

Опубликовано
  • Автор
Опубликовано (изменено)

печально, nod32 вроде обещался помочь, их ПО стоит, посмотрим что из это выйдет. Спасибо за помощь

Изменено пользователем Андрей Левченко
Sandor

Sandor

Опубликовано
Опубликовано

Если будут результаты, сообщите, пожалуйста, сюда.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ffrog
      криптовирус tendercrisp_sandwich@aol.com [Cryakl]
      Автор ffrog
      дети на каникулах - это жесть.
      в то же время, сам виноват.
      во-первых, у ребёнка аккаунт не простого пользователя, а администратора
      во-вторых, не было пароля для защиты конфигурации NOD32
      в-третьих, NOD32 хоть и был с актуальными базами, но сам по себе старый - версия 4.2.71
       
      в результате, ребёнок скачал и запустил криптовирус, который удалил NOD32 и зашифровал больше 3 ТБ данных
      в автозагрузку вирус не пролез (по крайней мере, в мою учётную запись), поэтому после ребута деятельность не продолжил

      на данный момент всё пролечил, остался вопрос как расшифровать те самые 3 ТБ данных
      зашифрованные файлы ещё и переименованы, расширение у всех файлов уникальное
      примеры:
      email-tendercrisp_sandwich@aol.com.ver-CL 1.3.1.0.id-@@@@@E8CA-73DD.randomname-VSJARIZLCTKBNJBMDUROZRIZQHYKBS.JAR.ial
      email-tendercrisp_sandwich@aol.com.ver-CL 1.3.1.0.id-@@@@@E8CA-73DD.randomname-WNEPMDUMDOFRIZKBTEVOLHYKBSPASJ.ULC.ulw
      email-tendercrisp_sandwich@aol.com.ver-CL 1.3.1.0.id-@@@@@E8CA-73DD.randomname-WNEVNEPGXPGXIZRCTKWNEPGSJAMDWO.KBN.evh

      если открыть файл редактором, то в конце файла видим следующее:
      {EncryptStart}{цифры, много, около 32КБ}{EncryptEnded}

      в файле readme.txt - всем известная формулировка с предложением написать красавцам на почту tendercrisp_sandwich@aol.com чтобы получить your unique key and decode files
      CollectionLog-2017.01.03-21.15.zip
    • DenisVortman
      Криптовирус *.1txt
      Автор DenisVortman
      Сегодня бухгалтерия поймала криптовирус, все зашифровали.
      прикрепил зашифрованный файл и файл от злаумышлеников.

      За ранние спасибо. 
    • Сергей Коломийченко
      Шифровальщик Trojan.Ransom.win32.Rotor.b - нужна помощь в дешифровке
      Автор Сергей Коломийченко
      Trojan.Ransom.win32.Rotor.b - застал этого паразита в процессе шифрования, завершил его из диспетчера задач, есть надежда на то, что он не успел затереть ключи шифрования, только бы знать где их искать и чем. Файлы имеют вид: GDIPFONTCACHEV1.DAT.___ELIZABETH7@PROTONMAIL.COM____ , в наличии имеются шифрованные файлы, их оригиналы и ехе"шник вируса, буду рад любому полезному совету в правильном направлении.
      Приложил архив с оригинальным и шифрованным файлом
       

      Строгое предупреждение от модератора thyrex Не прикрепляйте вредоносных вложений CollectionLog-2016.10.28-18.12.zip
      Desktop.rar
×
×
  • Создать...