Перейти к содержанию

DA_VINCI зашифровал ПК

Torkins
 Share Подписчики 2

Рекомендуемые сообщения

Torkins

Torkins 0

Опубликовано
Опубликовано

Добрый день!

Вчера бухгалтер запустила провокационное вложение из письма - по разным причинам она имеет локальные права администратора и политика srp на этот момент была отключена. Зашифровалась большая часть файлов .txt, .doc и т.д. Больше всего пострадали локальные БД 1С

Произвел проверку AVRT, исполняющий файл вируса был удалён.

Скажите, есть ли возможность восстановить данные?

ПК на Windows XP

Логи AutoLogger и FRST прилагаю.

 

Addition.txt

CollectionLog-2016.10.28-09.14.zip

FRST.txt

Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 285

Опубликовано
Опубликовано

Здравствуйте!

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <===== ATTENTION
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-1871025105-518321076-1556681970-1402\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
CHR Extension: () - C:\Documents and Settings\Volkov_Victor\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-10-27]
CHR Extension: (No Name) - C:\Documents and Settings\Volkov_Victor\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\cncgohepihcekklokhbhiblhfcmipbdh [2016-10-27]
CHR Extension: (No Name) - C:\Documents and Settings\Volkov_Victor\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2016-10-27]
CHR Extension: (No Name) - C:\Documents and Settings\Volkov_Victor\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\Temp(2) [2016-05-23]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Torkins

Torkins 0

Опубликовано
  • Автор
Опубликовано (изменено)

См. приложение

Компьютер не перезагружался и запроса на перезагрузку не было

Fixlog.txt

Изменено пользователем Torkins
Ссылка на сообщение
Поделиться на другие сайты
mazz_88

mazz_88 0

Опубликовано
Опубликовано (изменено)

абсолютно такая же проблема как и у Torkins....появилась 2 дня назад, компьютер на базе win XP и 4 конфигурации 1С.... важнее всего они, чем документы все....

Изменено пользователем mazz_88
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 285

Опубликовано
Опубликовано
@mazz_88, не пишите в чужой теме. Создайте свою, прочтите и выполните Порядок оформления запроса о помощи
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • chernikovd
      Поймали шифровальщика на несколько серверов
      От chernikovd
      Добрый день!
      поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному
       
      спасибо
      ЗашифрованыеФайлы.7z Addition.txt FRST.txt
    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • DimonD
      [РАСШИФРОВАНО] Поймали шифровальщик
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • iLuminate
      Подозрение на взлом сервера
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
    • JhonD
      шифровальщик Jami_decryptionguy
      От JhonD
      Добрый день, посмотрите, есть ли надежда на восстановление файлов. 
      Addition.txt CONTACT_US.txt FRST.txt АКТ на списание ГСМ.DOCX
×
×
  • Создать...