Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик, восстановление данных

Weis
 Поделиться

Рекомендуемые сообщения

Weis Новичок

Weis

Опубликовано
Опубликовано

Сотрудник открыл письмо с вирусом "Шифровальщиком"
Пк был оперативно выключен, но шифрования данных избежать не удалось.
Помогите расшифровать данные

CollectionLog-2017.02.01-16.36.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

А что такой древний антивирус установлен?

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Антивирус древний потому что, учреждение Бюджетное

Неудачная отмазка.

 

Антивирус Касперского 6.0 для Windows Workstations (HKLM-x32\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1611 - Лаборатория Касперского)

Это старье уже снято с поддержки. Вот http://support.kaspersky.ru/13082такое старье стоит в вашей бюджетной организации.

 

Total physical RAM: 3783.8 MB

Этого вполне достаточно для того чтобы установить KES 10.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\Users\Все пользователи\services
2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\ProgramData\services
2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\ProgramData\Csrss
2017-01-31 18:01 - 2017-01-31 18:01 - 03148854 _____ C:\Users\User\AppData\Roaming\FEC379D9FEC379D9.bmp
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README9.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README8.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README7.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README6.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README5.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README4.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README3.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README2.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README10.txt
2017-01-31 17:44 - 2017-02-01 14:22 - 00000000 __SHD C:\Users\Все пользователи\System32
2017-01-31 17:44 - 2017-02-01 14:22 - 00000000 __SHD C:\ProgramData\System32
2017-02-01 14:22 - 2017-02-01 14:22 - 1032704 _____ (Microsoft Corporation) C:\Users\User\AppData\Local\Temp\161235BF.exe
2017-02-01 14:22 - 2017-02-01 14:22 - 1497600 _____ () C:\Users\User\AppData\Local\Temp\2BF78B95.exe
2017-02-01 14:22 - 2017-02-01 14:22 - 0887808 _____ (Microsoft Corporation) C:\Users\User\AppData\Local\Temp\6E864B15.exe
2017-02-01 14:29 - 2017-02-01 14:29 - 1012224 ___SH () C:\Users\User\AppData\Local\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты
Weis Новичок

Weis

Опубликовано
  • Автор
Опубликовано

 

Антивирус древний потому что, учреждение Бюджетное

Неудачная отмазка.

 

Антивирус Касперского 6.0 для Windows Workstations (HKLM-x32\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1611 - Лаборатория Касперского)

Это старье уже снято с поддержки. Вот http://support.kaspersky.ru/13082такое старье стоит в вашей бюджетной организации.

 

Total physical RAM: 3783.8 MB

Этого вполне достаточно для того чтобы установить KES 10.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\Users\Все пользователи\services
2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\ProgramData\services
2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\ProgramData\Csrss
2017-01-31 18:01 - 2017-01-31 18:01 - 03148854 _____ C:\Users\User\AppData\Roaming\FEC379D9FEC379D9.bmp
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README9.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README8.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README7.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README6.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README5.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README4.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README3.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README2.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README10.txt
2017-01-31 17:44 - 2017-02-01 14:22 - 00000000 __SHD C:\Users\Все пользователи\System32
2017-01-31 17:44 - 2017-02-01 14:22 - 00000000 __SHD C:\ProgramData\System32
2017-02-01 14:22 - 2017-02-01 14:22 - 1032704 _____ (Microsoft Corporation) C:\Users\User\AppData\Local\Temp\161235BF.exe
2017-02-01 14:22 - 2017-02-01 14:22 - 1497600 _____ () C:\Users\User\AppData\Local\Temp\2BF78B95.exe
2017-02-01 14:22 - 2017-02-01 14:22 - 0887808 _____ (Microsoft Corporation) C:\Users\User\AppData\Local\Temp\6E864B15.exe
2017-02-01 14:29 - 2017-02-01 14:29 - 1012224 ___SH () C:\Users\User\AppData\Local\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Weis Новичок

Weis

Опубликовано
  • Автор
Опубликовано

Антивирус обновили?

На других Пк антивирусные программы обновлены, остался только вот этот шифрованный. 

Есть еще такая проблема, шифровальщик проник с сетевой диск и зашифровал пару папок.

Сетевые диски которые в момент заражения были подключены к ПК и только они. Другие папки в общем каталоге он не тронул. Т.е. дальше по сетевому он не распространился.

Но очень нужно расшифровать эти папки. Прям вот в обще позарез )

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • artem_duck
      Ошибка восстановления из резервной копии Astra Linux + MariaDB + KSC 15.3
      Автор artem_duck
      Добрый день
       
      Мигрирую из KSC Windows на KSC Astra с использованием резервной копии данных. При использование klbackup выходит ошибка:
       
      Проверка параметров командной строки...OK Вт 17 июн 2025 09:22:51 Проверка путей...OK (1 сек 20 мсек) Вт 17 июн 2025 09:22:51 Открытие SCM...OK (10 сек 70 мсек) Вт 17 июн 2025 09:23:01 Восстановление параметров Сервера администрирования... Ошибка - 1963 ('Database connection is broken "1045, 'Access denied for user 'KSCAdmin'@'X.X.X.X' (using password: YES)' , LastStatement='mysql_real_connect'"')  
      У KSCAdmin доступ к БД kav есть
      mysql -u KSCAdmin -p -h X.X.X.X -e "SHOW DATABASES;" +--------------------+ | Database | +--------------------+ | information_schema | | kav | | mysql | | sys | | test | +--------------------+  
      Может кто нибудь подсказать в чем проблема? Или в какую сторону копать? 
    • Alkart1975
      Зашифровали диск с данными српедствами BitLocker
      Автор Alkart1975
      Здравствуйте.
      Зловред зашифровал битлокером несистемный диск. Злоумышленники просят выкуп на почту davidblaine@mail2world.com и bitlockerlock.unlock@gmail.com
      С диска С удалены файлы баз данных и документы. На компьютере несколько пользователей. 
      На рабочем столе одного из пользователей оставлен файл PLEASE READ с требованием оплаты.
      Прошу помощи. Возможно ли расшифровать диск? Или восстановить файлы баз данных 1С. 
      Addition.txt FRST.txt PLEASE READ.txt
    • David1990
      Не могу восстановить с точку восстановления ошибка rstrui.exe 0xc0000017 и SystemSettingAdminFlows.exe 0xc0000017
      Автор David1990
      Сегодня скачал какой то VPN для того что бы перевести регион в Epic Store но после этого начали происходить странные вещи, не могу восстановить систему с помощью точки восстановления выдает ошибку rstrui.exe 0x0000017  и если я пробую восстановить через обновления и безопасность -> Восстановления -> начать, выдает эту же ошибку но уже с этого способа Ошибка; SystemSettingAdminFlows.exe 0xc0000017, переустанавливать систему не могу, боюсь потерять доступ к лицензированных программ которые были на пк. 
      Заранее всем откликнувшимся большое спасибо! 
    • KL FC Bot
      Как отключить доступ Gemini к вашим данным на Android | Блог Касперского
      Автор KL FC Bot
      7 июля 2025 года Google выпустила обновление Gemini, которое дает AI-помощнику доступ к приложениям Phone, Messages, WhatsApp и Utilities на Android-устройствах. Компания анонсировала это событие e-mail-рассылкой пользователям своего чат-бота, которых просто поставили перед фактом: «Мы упростили взаимодействие Gemini с вашим устройством… Gemini скоро сможет помочь вам использовать «Телефон», «Сообщения», WhatsApp и «Утилиты» на вашем телефоне, независимо от того, включена ли ваша активность приложений Gemini или нет».
      С точки зрения Google, обновление улучшает приватность, поскольку теперь пользователям доступны функции Gemini без необходимости включать Gemini Apps Activity. Удобно, не правда ли?
       
      View the full article
    • Zakot
      Вирус зашифровал данные на сервере
      Автор Zakot
      На сервере вчера вирус зашифровал данные, возможно через RDP попал, сегодня обнаружили.
      virus.zipFRST.txtAddition.txt
×
×
  • Создать...