Шифровальщик, восстановление данных

[Weis]

Сотрудник открыл письмо с вирусом "Шифровальщиком"
Пк был оперативно выключен, но шифрования данных избежать не удалось.
Помогите расшифровать данные

CollectionLog-2017.02.01-16.36.zip

[mike 1]

А что такой древний антивирус установлен?

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Weis]

Антивирус древний потому что, учреждение Бюджетное
Вот отчеты:

Addition.txt

FRST.txt

[mike 1]

Антивирус древний потому что, учреждение Бюджетное

Неудачная отмазка.

 

Антивирус Касперского 6.0 для Windows Workstations (HKLM-x32\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1611 - Лаборатория Касперского)

Это старье уже снято с поддержки. Вот http://support.kaspersky.ru/13082такое старье стоит в вашей бюджетной организации.

 

Total physical RAM: 3783.8 MB

Этого вполне достаточно для того чтобы установить KES 10.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\Users\Все пользователи\services
  2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\Users\Все пользователи\Csrss
  2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\ProgramData\services
  2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\ProgramData\Csrss
  2017-01-31 18:01 - 2017-01-31 18:01 - 03148854 _____ C:\Users\User\AppData\Roaming\FEC379D9FEC379D9.bmp
  2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README9.txt
  2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README8.txt
  2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README7.txt
  2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README6.txt
  2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README5.txt
  2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README4.txt
  2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README3.txt
  2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README2.txt
  2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README10.txt
  2017-01-31 17:44 - 2017-02-01 14:22 - 00000000 __SHD C:\Users\Все пользователи\System32
  2017-01-31 17:44 - 2017-02-01 14:22 - 00000000 __SHD C:\ProgramData\System32
  2017-02-01 14:22 - 2017-02-01 14:22 - 1032704 _____ (Microsoft Corporation) C:\Users\User\AppData\Local\Temp\161235BF.exe
  2017-02-01 14:22 - 2017-02-01 14:22 - 1497600 _____ () C:\Users\User\AppData\Local\Temp\2BF78B95.exe
  2017-02-01 14:22 - 2017-02-01 14:22 - 0887808 _____ (Microsoft Corporation) C:\Users\User\AppData\Local\Temp\6E864B15.exe
  2017-02-01 14:29 - 2017-02-01 14:29 - 1012224 ___SH () C:\Users\User\AppData\Local\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[Weis]

 

Антивирус древний потому что, учреждение Бюджетное

Неудачная отмазка.

 

Антивирус Касперского 6.0 для Windows Workstations (HKLM-x32\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1611 - Лаборатория Касперского)

Это старье уже снято с поддержки. Вот http://support.kaspersky.ru/13082такое старье стоит в вашей бюджетной организации.

 

Total physical RAM: 3783.8 MB

Этого вполне достаточно для того чтобы установить KES 10.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\Users\Все пользователи\services
  2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\Users\Все пользователи\Csrss
  2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\ProgramData\services
  2017-02-01 14:22 - 2017-02-01 16:18 - 00000000 __SHD C:\ProgramData\Csrss
  2017-01-31 18:01 - 2017-01-31 18:01 - 03148854 _____ C:\Users\User\AppData\Roaming\FEC379D9FEC379D9.bmp
  2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README9.txt
  2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README8.txt
  2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README7.txt
  2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README6.txt
  2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README5.txt
  2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README4.txt
  2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README3.txt
  2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README2.txt
  2017-01-31 17:51 - 2017-01-31 17:51 - 00004154 _____ C:\Users\User\Desktop\README10.txt
  2017-01-31 17:44 - 2017-02-01 14:22 - 00000000 __SHD C:\Users\Все пользователи\System32
  2017-01-31 17:44 - 2017-02-01 14:22 - 00000000 __SHD C:\ProgramData\System32
  2017-02-01 14:22 - 2017-02-01 14:22 - 1032704 _____ (Microsoft Corporation) C:\Users\User\AppData\Local\Temp\161235BF.exe
  2017-02-01 14:22 - 2017-02-01 14:22 - 1497600 _____ () C:\Users\User\AppData\Local\Temp\2BF78B95.exe
  2017-02-01 14:22 - 2017-02-01 14:22 - 0887808 _____ (Microsoft Corporation) C:\Users\User\AppData\Local\Temp\6E864B15.exe
  2017-02-01 14:29 - 2017-02-01 14:29 - 1012224 ___SH () C:\Users\User\AppData\Local\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Fixlog.txt

[mike 1]

Антивирус обновили?

[Weis]

Антивирус обновили?

На других Пк антивирусные программы обновлены, остался только вот этот шифрованный. 

Есть еще такая проблема, шифровальщик проник с сетевой диск и зашифровал пару папок.

Сетевые диски которые в момент заражения были подключены к ПК и только они. Другие папки в общем каталоге он не тронул. Т.е. дальше по сетевому он не распространился.

Но очень нужно расшифровать эти папки. Прям вот в обще позарез )

[mike 1]

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525