Все зашифровано тапком

[seik23 0]

Все нужные мне файлы зашифровались, поэтому пришел просить помощи) 

Появились текстовые файлы с таким содержимым:

write your country and server IP to tapok@tuta.io

 

Сделал по инструкции: создал тему и прикладываю архив с логами.

 

Заранее спасибо откликнувшимся! 

CollectionLog-2018.09.30-09.55.zip

Изменено 30 сентября, 2018 пользователем seik23

[SQ 785]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O4-32 - HKLM\..\Run: [814403] = 814403  (file missing)
O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[seik23 0]

Прикрепляю файлы от программы frst64

 

Подскажите, можно будет как-то восстановить "испорченные" файлы/данные?

Addition.txt

FRST.txt

Изменено 30 сентября, 2018 пользователем seik23

[thyrex 1 412]

Был вход по RDP. Пароль срочно сменить на более сложный. Зашли похоже под

C:\Users\reception\AppData\Local\Temp\ABCCDEFGGG.exe

 

 

TeamViewer 13 сами устанавливали?

 

Компьютер используется как сервер? В журнале событий системы нужно постараться найти информацию о времени запуска системы в день шифрования (событие 6005). А если это сервер, который не выключается постоянно, тогда искать нужно последнее такое событие. Соощите время, указанное в этих событиях.

 

Запустили сразу две версии шифратора, потому часть файлов может быть зашифрована одной версией, часть - другой. По крайней мере так произошло с файлами README.txt от самих вымогателей.
 

2018-09-27 23:31 - 2018-09-27 23:31 - 000000069 _____ C:\Users\user1\AppData\README.txt
2018-09-27 23:31 - 2018-09-27 23:31 - 000000069 _____ C:\Users\user1\AppData\LocalLow\README.txt
2018-09-27 23:31 - 2018-09-27 23:31 - 000000069 _____ C:\Users\reception\AppData\README.txt
2018-09-27 23:31 - 2018-09-27 23:31 - 000000069 _____ C:\Users\reception\AppData\LocalLow\README.txt
2018-09-27 23:31 - 2018-09-27 23:31 - 000000069 _____ C:\Users\README.txt
2018-09-27 23:31 - 2018-09-27 23:31 - 000000069 _____ C:\README.txt

это от версии 1.3.1.0
 
 

2018-09-27 23:27 - 2018-09-27 23:31 - 000001301 _____ C:\Users\user1\Desktop\email-tapok@tuta.io.ver-CL 1.5.1.0.id-4132112064-359308374534481851620806.fname-README.txt.doubleoffset
2018-09-27 23:27 - 2018-09-27 23:31 - 000001301 _____ C:\Users\user1\AppData\Roaming\email-tapok@tuta.io.ver-CL 1.5.1.0.id-4132112064-359308374534481851620806.fname-README.txt.doubleoffset
2018-09-27 23:27 - 2018-09-27 23:31 - 000001301 _____ C:\Users\user1\AppData\Local\email-tapok@tuta.io.ver-CL 1.5.1.0.id-4132112064-359308374534481851620806.fname-README.txt.doubleoffset
2018-09-27 23:27 - 2018-09-27 23:31 - 000001301 _____ C:\Users\reception\Documents\email-tapok@tuta.io.ver-CL 1.5.1.0.id-4132112064-359308374534481851620806.fname-README.txt.doubleoffset
2018-09-27 23:27 - 2018-09-27 23:31 - 000001301 _____ C:\Users\reception\Desktop\email-tapok@tuta.io.ver-CL 1.5.1.0.id-4132112064-359308374534481851620806.fname-README.txt.doubleoffset

эти уже успела зашифровать версия 1.5.1.0
 
Пришлите из каждой группы по одному файлу + найдите первые по времени шифрования файлы, пострадавшие от каждой из версий. Все это в архиве прикрепите к следующему сообщению в теме.

Получится или нет с расшифровкой сказать трудно, но шансов мало. Даже брут ключа для версии 1.5.1.0 может быть слишком долгим.

[seik23 0]

 

 

TeamViewer 13 сами устанавливали?

Да, чтобы удаленно управлять компьютером.

 

 

 

Компьютер используется как сервер? В журнале событий системы нужно постараться найти информацию о времени запуска системы в день шифрования (событие 6005). А если это сервер, который не выключается постоянно, тогда искать нужно последнее такое событие. Соощите время, указанное в этих событиях.

Нет, компьютер не как сервер. Просто никогда не выключается..  Прикрепил события.

 

Да все бы ничего.. там стоит 1с по которой люди работали и базы испортились

email-tapok@tuta.io.ver-CL 1.5.1.0.id-4132112064-359308374534481851620806.fname-1Cv7.CFG.zip

[SQ 785]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  HKLM-x32\...\Run: [814403] => 814403
  File: C:\Program Files\RDP Wrapper\rdpwrap.dll
  File: C:\Program Files (x86)\ASUS\AXSP\1.01.02\atkexComSvc.exe
  File: C:\Program Files (x86)\ATOL\EthOverUsb\EthOverUsb.exe
  Virustotal: C:\Program Files\RDP Wrapper\rdpwrap.dll
  2018-09-27 23:27 - 2018-09-27 23:31 - 000000069 _____ C:\Users\user1\README.txt
  2018-09-27 23:27 - 2018-09-27 23:31 - 000000069 _____ C:\Users\user1\Downloads\README.txt
  2018-09-27 23:27 - 2018-09-27 23:31 - 000000069 _____ C:\Users\user1\Documents\README.txt
  2018-09-27 23:27 - 2018-09-27 23:31 - 000000069 _____ C:\Users\user1\AppData\Roaming\README.txt
  2018-09-27 23:27 - 2018-09-27 23:31 - 000000069 _____ C:\Users\user1\AppData\Local\README.txt
  2018-09-27 23:27 - 2018-09-27 23:31 - 000000069 _____ C:\Users\reception\Documents\README.txt
  2018-09-27 23:27 - 2018-09-27 23:31 - 000000069 _____ C:\Users\reception\Desktop\README.txt
  2018-09-27 23:27 - 2018-09-27 23:31 - 000000069 _____ C:\Users\reception\AppData\Roaming\README.txt
  2018-09-27 23:27 - 2018-09-27 23:27 - 000000069 _____ C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2018-09-27 23:27 - 2018-09-27 23:27 - 000000069 _____ C:\Users\reception\README.txt
  2018-09-27 23:27 - 2018-09-27 23:27 - 000000069 _____ C:\Users\reception\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2018-09-27 23:26 - 2018-09-27 23:31 - 000001301 _____ C:\Users\Все пользователи\README.txt
  2018-09-27 23:26 - 2018-09-27 23:31 - 000001301 _____ C:\ProgramData\README.txt
  2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ C:\Users\Public\README.txt
  2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ C:\Users\Public\Downloads\README.txt
  2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ C:\Users\Public\Documents\README.txt
  2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ C:\Users\azarovaa\README.txt
  2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ C:\Users\azarovaa\Downloads\README.txt
  2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ C:\Users\azarovaa\Documents\README.txt
  2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ C:\Users\azarovaa\AppData\Roaming\README.txt
  2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ C:\Users\azarovaa\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ C:\Users\azarovaa\AppData\Local\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default\Downloads\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default\Documents\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default\Desktop\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default\AppData\Roaming\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default\AppData\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default\AppData\Local\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default User\Downloads\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default User\Documents\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default User\Desktop\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default User\AppData\Roaming\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default User\AppData\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default User\AppData\Local\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\azarovaa\AppData\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\azarovaa\AppData\LocalLow\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Program Files (x86)\README.txt
  2018-09-27 23:25 - 2018-09-27 23:25 - 000000069 _____ C:\Program Files\README.txt
  2018-09-27 23:25 - 2018-09-27 23:25 - 000000069 _____ C:\Program Files\Common Files\README.txt
  Folder: C:\Users\azarovaa\AppData\Local\Comms
  Folder: C:\Users\user1\AppData\Local\Comms
  Folder: C:\Users\reception\AppData\Roaming\retun
  File: C:\WINDOWS\system32\FprnM1C.dll
  Folder: C:\ProgramData\KMSAutoS
  Folder: C:\Users\reception\AppData\Local\Comms
  Folder: C:\Users\reception\IntelGraphicsProfiles
  File: C:\WINDOWS\system32\SET7310.tmp
  2018-09-27 23:25 - 2018-09-27 23:25 - 000000069 _____ () C:\Program Files\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ () C:\Program Files (x86)\README.txt
  2018-09-27 23:25 - 2018-09-27 23:25 - 000000069 _____ () C:\Program Files\Common Files\README.txt
  2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ () C:\Program Files (x86)\Common Files\README.txt
  2018-09-27 23:27 - 2018-09-27 23:31 - 000000069 _____ () C:\Users\reception\AppData\Roaming\README.txt
  2018-09-27 23:31 - 2018-09-27 23:31 - 000000069 _____ () C:\Users\reception\AppData\Roaming\Microsoft\README.txt
  2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ () C:\Users\reception\AppData\Local\README.txt
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[thyrex 1 412]

Вы прислали только примеры шифрованных файлов, а примеры указанных файлов README.txt и его зашифрованных копий не прислали. 

 

На скриншоте видно, что компьютер не выключался с 14 сентября. Найдите это событие, кликните по нему и посмотрите, какое время там указано .

В следующий раз загрузка компьютера была уже после шифрования 28 сентября. Следовательно между этими событиями должно быть событие 6006. Точно так же нужно посмотреть его, написать его дату и время, которое указано в нем.