Перейти к содержанию

Шифровальщик, восстановление данных

Weis
 Share

Рекомендуемые сообщения

Weis Новичок

Weis

Опубликовано
Опубликовано

Сотрудник открыл письмо с вирусом "Шифровальщиком"
Пк был оперативно выключен, но шифрования данных избежать не удалось.
Помогите расшифровать данные

CollectionLog-2017.02.01-16.36.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

А что такой древний антивирус установлен?

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Антивирус древний потому что, учреждение Бюджетное

Неудачная отмазка.

 

Антивирус Касперского 6.0 для Windows Workstations (HKLM-x32\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1611 - Лаборатория Касперского)

Это старье уже снято с поддержки. Вот http://support.kaspersky.ru/13082такое старье стоит в вашей бюджетной организации.

 

Total physical RAM: 3783.8 MB

Этого вполне достаточно для того чтобы установить KES 10.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\Users\Все пользователи\services
2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\ProgramData\services
2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\ProgramData\Csrss
2017-01-31 18:01 - 2017-01-31 18:01 - 03148854 _____ C:\Users\User\AppData\Roaming\FEC379D9FEC379D9.bmp
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README9.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README8.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README7.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README6.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README5.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README4.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README3.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README2.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README10.txt
2017-01-31 17:44 - 2017-02-01 14:22 - 00000000 __SHD C:\Users\Все пользователи\System32
2017-01-31 17:44 - 2017-02-01 14:22 - 00000000 __SHD C:\ProgramData\System32
2017-02-01 14:22 - 2017-02-01 14:22 - 1032704 _____ (Microsoft Corporation) C:\Users\User\AppData\Local\Temp\161235BF.exe
2017-02-01 14:22 - 2017-02-01 14:22 - 1497600 _____ () C:\Users\User\AppData\Local\Temp\2BF78B95.exe
2017-02-01 14:22 - 2017-02-01 14:22 - 0887808 _____ (Microsoft Corporation) C:\Users\User\AppData\Local\Temp\6E864B15.exe
2017-02-01 14:29 - 2017-02-01 14:29 - 1012224 ___SH () C:\Users\User\AppData\Local\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты
Weis Новичок

Weis

Опубликовано
  • Автор
Опубликовано

 

Антивирус древний потому что, учреждение Бюджетное

Неудачная отмазка.

 

Антивирус Касперского 6.0 для Windows Workstations (HKLM-x32\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1611 - Лаборатория Касперского)

Это старье уже снято с поддержки. Вот http://support.kaspersky.ru/13082такое старье стоит в вашей бюджетной организации.

 

Total physical RAM: 3783.8 MB

Этого вполне достаточно для того чтобы установить KES 10.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\Users\Все пользователи\services
2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\ProgramData\services
2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\ProgramData\Csrss
2017-01-31 18:01 - 2017-01-31 18:01 - 03148854 _____ C:\Users\User\AppData\Roaming\FEC379D9FEC379D9.bmp
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README9.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README8.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README7.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README6.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README5.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README4.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README3.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README2.txt
2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README10.txt
2017-01-31 17:44 - 2017-02-01 14:22 - 00000000 __SHD C:\Users\Все пользователи\System32
2017-01-31 17:44 - 2017-02-01 14:22 - 00000000 __SHD C:\ProgramData\System32
2017-02-01 14:22 - 2017-02-01 14:22 - 1032704 _____ (Microsoft Corporation) C:\Users\User\AppData\Local\Temp\161235BF.exe
2017-02-01 14:22 - 2017-02-01 14:22 - 1497600 _____ () C:\Users\User\AppData\Local\Temp\2BF78B95.exe
2017-02-01 14:22 - 2017-02-01 14:22 - 0887808 _____ (Microsoft Corporation) C:\Users\User\AppData\Local\Temp\6E864B15.exe
2017-02-01 14:29 - 2017-02-01 14:29 - 1012224 ___SH () C:\Users\User\AppData\Local\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Weis Новичок

Weis

Опубликовано
  • Автор
Опубликовано

Антивирус обновили?

На других Пк антивирусные программы обновлены, остался только вот этот шифрованный. 

Есть еще такая проблема, шифровальщик проник с сетевой диск и зашифровал пару папок.

Сетевые диски которые в момент заражения были подключены к ПК и только они. Другие папки в общем каталоге он не тронул. Т.е. дальше по сетевому он не распространился.

Но очень нужно расшифровать эти папки. Прям вот в обще позарез )

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Zubarev211
      Зашифровали данные компьютера с помощью шифровальщика Xorist
      От Zubarev211
      Добрый день, поймали шифровальщик Xorist, зашифровали все файлы расширением *.er. Нужно было восстановить базу данных 1С. Из теневой папки получилось восстановить 1CD8.1CD
      Указанный файл не был зашифрован расширением .er, но при запуске выдавало ошибку о повреждении данных.

      Так же пытались вашим декриптором использовали пару 2х файлов, но так же получали ошибку(пробовали на документах ворд)

      Подскажите пожалуйста какие дальнейшие шаги нам нужно сделать, чтобы восстановить базу. Спасибо! 
    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • sergei5
      шифровальшик зашировал все данные
      От sergei5
      Добрый день Вирус зашифровал все данные файл с расширением  62IKGXJL  помогите восстановить. Буду вам признателен.
    • ArAREM
      Помощь в восстановлении и расшифровке файлов Real.Berserk2000@mailum.com
      От ArAREM
      Здравствуйте!
      Около двух месяцев назад на корпоративный сервер организации попал вирус-шифровальщик. Все базы данных 1C и важные файлы были зашифрованы. На данный момент уже проведены все мероприятия для восстановления работоспособности и налаживания безопасности, однако после этого инцидента остался жесткий диск с сервера с зашифрованными на нём файлами. Исходя из всех проведенных проверок - самого вирус-шифровальщика на нём уже нет. Файл FRST не смогу предоставить, так как накопитель уже не используется на сервере и по сути просто лежит у обслуживающей организации ожидая выхода дешифратора.
      В свою очередь изначально в качестве одного из "условий" сделки, которую мы, естественно, не стали проводить после получения необходимого файла, нам удалось убедить злоумышленников расшифровать один из наших файлов для подтверждения возможности расшифровки. Возможно это как-то поможет в подборе дешифратора.
      В архиве будут представлены: текст с требованием, а также два других зашифрованных файла малого размера (архив Files).
      Хотел также прикрепить дополнительно образец расшифрованного файла базы данных Excel ДО и ПОСЛЕ расшифровки, но каждый из них весит по 3 мб, поэтому форма заполнения обращения не позволяет прикрепить их оба. В связи с чем в архиве (Sample) прикреплю уже расшифрованный файл. Если дополнительно понадобится версия файла ДО расшифровки, то предоставлю отдельным сообщением.
      Files KP.zip Sample.zip
    • AntOgs
      Шифровальщик проник на сервера(2шт) с RDP, зашифровал все данные. Расширение .innok
      От AntOgs
      Добрый день! Помогите расшифровать данные.
      Шифровальщик вымогатель с расширением .innok  проник на сервера с RDP на windows server 2016 и 2012
      Зашифровал множестово (1с Базы, документы, картинки...) данных в том числе на всех сетевых дисках в локальной сети.
      После шифрования почистил журнал событий, отключилась функция VSS восстановления. Файл вируса не обнаружил. 
      Буду благодарен за любую помощь в расшифровке.
      Зашифрованные документы и файл с требованиями.rar логи FRST WS2012.rar логи FRST WS2016.rar
×
×
  • Создать...