Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

С рассшифровкой помочь не сможем, только почистить хвосты.

 

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [rlxov] = C:\Windows\system32\notepad.exe "C:\Users\Администратор\Инструкция по расшифровке файлов.TXT"

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Изменено пользователем regist
Опубликовано

+ В присланном Вами файле с расширением .omerta просто переименованное сообщение вымогателей для связи. Пришлите в архиве пример другого зашифрованного файла.

Опубликовано

Прикладываю файлы как и просили. и еще подскажите по какой причине у нас зашифровались файлы может это видно в логах. Спасибо.


перезалил другой файл

Addition.txt

FRST.txt

MHTeFmRnb~-G#.rar

Опубликовано

 

 


Пришлите в архиве пример другого зашифрованного файла.
это тоже сделайте.

 

+ вижу у вас хвосты от Doctor Web это CureiT использовали или раньше был установлен? Если второе, то желательно вычистить от его хвостов. И если есть лицензия на них, то обратиться в их тех. поддержку (а вдруг смогут рассшифровать?).

Если есть лицензия на KES, создайте запрос на расшифровку.

 

+

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe
    FirewallRules: [{4B1E7A1C-A328-4D67-B2EA-4E3235728ED9}] => (Allow) %systemroot%\system32\scshost.exe
    FirewallRules: [{8EFF52FC-044A-4B4B-B89E-3771AAD46E73}] => (Allow) %systemroot%\system32\scshost.exe
    2018-07-13 03:00 - 2018-07-13 03:00 - 000003554 _____ C:\Users\Администратор\Downloads\Инструкция по расшифровке файлов.TXT
    2018-07-13 03:00 - 2018-07-13 03:00 - 000003554 _____ C:\Users\Администратор\Documents\Инструкция по расшифровке файлов.TXT
    2018-07-13 02:55 - 2018-07-13 03:01 - 000003554 _____ C:\Users\Администратор\Инструкция по расшифровке файлов.TXT
    2018-07-13 02:55 - 2018-07-13 03:01 - 000003554 _____ C:\Users\Администратор\Desktop\Инструкция по расшифровке файлов.TXT
    2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Инструкция по расшифровке файлов.TXT
    2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\TEMP\Инструкция по расшифровке файлов.TXT
    2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\TEMP.CROWN\Инструкция по расшифровке файлов.TXT
    2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\TEMP.CROWN.000\Инструкция по расшифровке файлов.TXT
    2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT
    2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов.TXT
    2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\Public\Documents\Инструкция по расшифровке файлов.TXT
    2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Инструкция по расшифровке файлов.TXT
    2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Downloads\Инструкция по расшифровке файлов.TXT
    2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Documents\Инструкция по расшифровке файлов.TXT
    2018-07-13 02:55 - 2018-07-13 02:55 - 000003554 _____ C:\Users\admin\Desktop\Инструкция по расшифровке файлов.TXT
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.
Опубликовано

Приклепил


+ В присланном Вами файле с расширением .omerta просто переименованное сообщение вымогателей для связи. Пришлите в архиве пример другого зашифрованного файла.

Как вы это поняли?


файл работы программы


пример зашифрованного файла

Fixlog.txt

Fixlog.txt

MHTeFmRnb~-G#.rar

Опубликовано

 

 


и еще подскажите по какой причине у нас зашифровались файлы может это видно в логах
шифрование шло ночью. Значит был вход по RDP. Пароль от него смените.

 


Как вы это поняли?

просто открыл содержимое. Да и размер у него с точностью до байта совпадает с размером файла от вымогателей для связи.

Опубликовано

@a.airat32, имейте элементарное терпение. Мы тут помогаем в своё личное свободное время, когда не заняты работой и другими делами. И помогаем ещё и на других форумах. Так что требовать, чтобы через пять минут после вашего поста вам писали ответ это верх нахальства.

 

Тем более по делу всё уже выше было написано. Только добавлю

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
  • Согласен 1
  • 1 месяц спустя...
Опубликовано

Вот приложил небольшой файл (оригинал и зашифрованный вариант)

Если есть вариант дешифровки буду очень рад, 
так как я целый диск законсервировал в ожидании восстановить все зашифрованные файлы.

Пара.rar

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • kazak89
      Автор kazak89
      Добрый день!
      Прошу прощения, но тот же компьютер снова зашифровали
       
      Прошу помощи
       
       
      CollectionLog-2017.12.13-20.00.zip
      Инструкция по расшифровке.TXT
    • asarus
      Автор asarus
      Здравствуйте!
       
      Имеем сервер  с ОС windows server 2008 + 1С, пользователи подключаются по RDP.
       
      Сегодня на рабочем столе обнаружили файл "Инструкции по расшифровке.txt" (во вложении) с угрозами, что все удалится, если не перевести деньги. Так же было замечено, что многие файлы поменяли разрешение на .scarab (пример файла в архиве прикреплен).
       
      На сервере много нужных баз данных, а последний бекап был сделан на HDD, который в свою очередь был подключен к серверу в момент заражения и вероятнее всего поврежден.
       
      1C на данным момент работает, видимых проблем пока не обнаружено.
       
      Только что скачан Kaspersky Virus Removal Tool. Он обнаружил 2 опасности и нейтрализовал их (скрины во вложении).
       
      Логи приложил.
       
      Осталась ли какая то опасность в системе ? Будет ли система дальше исправно работать? Возможно ли как-то расшифровать файлы с разрешение .scarab?
       
      На всех ПК подключаемых в серверу стоит KIS проблем и похожих симптомов у них нет. На сервере же по убеждению программистов 1с антивирус не требовался и замедлял бы работу. Руководствуясь этими доводами антивирусное ПО на сервер не ставилось.
       
      Спасибо.
       




      virusinfo_syscheck.zip
      Инструкция по расшифровке.TXT
      Настройка сертификата для 1C.doc.zip
    • Leoni_d
      Автор Leoni_d
      День добрый,
       
      зашифровались файлы , понимаю что вернуть бесполезно , но хотелось ты избавится от заразы
       
    • kirill2323
      Автор kirill2323
      День добрый.
      В продолжение https://forum.kasperskyclub.ru/index.php?showtopic=57739
      Нашел таки я компьютер зараженный. Тему перенесенную в беседку удалите пожалуйста.
      Вобщем .scarab зашифровал раб стол и документы полностью. Проверил куреит'ом. 8 файлов обезврежено.
       
       
      CollectionLog-2017.11.24-10.22.zip
    • Pavel Seregin
      Автор Pavel Seregin
      Здравствуйте, поймали вирус-шифровальщик, зашифровал машину примерно 80%, но человек выключил пк резко из розетки, удалось поймать несколько файлов а именно файл который привел к заражению, так же файл который по предположению шифровал файлы, лог собранный программой прилагаю

      Добавляю файлы от программы  Farbar Recovery Scan Tool
      CollectionLog-2017.11.23-19.11.zip
      Addition.txt
      FRST.txt
      Shortcut.txt
×
×
  • Создать...