seik23 0 Опубликовано 30 сентября, 2018 Share Опубликовано 30 сентября, 2018 (изменено) Все нужные мне файлы зашифровались, поэтому пришел просить помощи) Появились текстовые файлы с таким содержимым: write your country and server IP to tapok@tuta.io Сделал по инструкции: создал тему и прикладываю архив с логами. Заранее спасибо откликнувшимся! CollectionLog-2018.09.30-09.55.zip Изменено 30 сентября, 2018 пользователем seik23 Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 30 сентября, 2018 Share Опубликовано 30 сентября, 2018 Здравствуйте,HiJackThis (из каталога autologger)профикситьВажно: необходимо отметить и профиксить только то, что указано ниже. O4-32 - HKLM\..\Run: [814403] = 814403 (file missing) O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file) - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
seik23 0 Опубликовано 30 сентября, 2018 Автор Share Опубликовано 30 сентября, 2018 (изменено) Прикрепляю файлы от программы frst64 Подскажите, можно будет как-то восстановить "испорченные" файлы/данные? Addition.txt FRST.txt Изменено 30 сентября, 2018 пользователем seik23 Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 30 сентября, 2018 Share Опубликовано 30 сентября, 2018 Был вход по RDP. Пароль срочно сменить на более сложный. Зашли похоже под C:\Users\reception\AppData\Local\Temp\ABCCDEFGGG.exe TeamViewer 13 сами устанавливали? Компьютер используется как сервер? В журнале событий системы нужно постараться найти информацию о времени запуска системы в день шифрования (событие 6005). А если это сервер, который не выключается постоянно, тогда искать нужно последнее такое событие. Соощите время, указанное в этих событиях. Запустили сразу две версии шифратора, потому часть файлов может быть зашифрована одной версией, часть - другой. По крайней мере так произошло с файлами README.txt от самих вымогателей. 2018-09-27 23:31 - 2018-09-27 23:31 - 000000069 _____ C:\Users\user1\AppData\README.txt2018-09-27 23:31 - 2018-09-27 23:31 - 000000069 _____ C:\Users\user1\AppData\LocalLow\README.txt2018-09-27 23:31 - 2018-09-27 23:31 - 000000069 _____ C:\Users\reception\AppData\README.txt2018-09-27 23:31 - 2018-09-27 23:31 - 000000069 _____ C:\Users\reception\AppData\LocalLow\README.txt2018-09-27 23:31 - 2018-09-27 23:31 - 000000069 _____ C:\Users\README.txt2018-09-27 23:31 - 2018-09-27 23:31 - 000000069 _____ C:\README.txt это от версии 1.3.1.0 2018-09-27 23:27 - 2018-09-27 23:31 - 000001301 _____ C:\Users\user1\Desktop\email-tapok@tuta.io.ver-CL 1.5.1.0.id-4132112064-359308374534481851620806.fname-README.txt.doubleoffset2018-09-27 23:27 - 2018-09-27 23:31 - 000001301 _____ C:\Users\user1\AppData\Roaming\email-tapok@tuta.io.ver-CL 1.5.1.0.id-4132112064-359308374534481851620806.fname-README.txt.doubleoffset2018-09-27 23:27 - 2018-09-27 23:31 - 000001301 _____ C:\Users\user1\AppData\Local\email-tapok@tuta.io.ver-CL 1.5.1.0.id-4132112064-359308374534481851620806.fname-README.txt.doubleoffset2018-09-27 23:27 - 2018-09-27 23:31 - 000001301 _____ C:\Users\reception\Documents\email-tapok@tuta.io.ver-CL 1.5.1.0.id-4132112064-359308374534481851620806.fname-README.txt.doubleoffset2018-09-27 23:27 - 2018-09-27 23:31 - 000001301 _____ C:\Users\reception\Desktop\email-tapok@tuta.io.ver-CL 1.5.1.0.id-4132112064-359308374534481851620806.fname-README.txt.doubleoffset эти уже успела зашифровать версия 1.5.1.0 Пришлите из каждой группы по одному файлу + найдите первые по времени шифрования файлы, пострадавшие от каждой из версий. Все это в архиве прикрепите к следующему сообщению в теме.Получится или нет с расшифровкой сказать трудно, но шансов мало. Даже брут ключа для версии 1.5.1.0 может быть слишком долгим. 2 Ссылка на сообщение Поделиться на другие сайты
seik23 0 Опубликовано 30 сентября, 2018 Автор Share Опубликовано 30 сентября, 2018 TeamViewer 13 сами устанавливали? Да, чтобы удаленно управлять компьютером. Компьютер используется как сервер? В журнале событий системы нужно постараться найти информацию о времени запуска системы в день шифрования (событие 6005). А если это сервер, который не выключается постоянно, тогда искать нужно последнее такое событие. Соощите время, указанное в этих событиях. Нет, компьютер не как сервер. Просто никогда не выключается.. Прикрепил события. Да все бы ничего.. там стоит 1с по которой люди работали и базы испортились email-tapok@tuta.io.ver-CL 1.5.1.0.id-4132112064-359308374534481851620806.fname-1Cv7.CFG.zip Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 30 сентября, 2018 Share Опубликовано 30 сентября, 2018 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [814403] => 814403 File: C:\Program Files\RDP Wrapper\rdpwrap.dll File: C:\Program Files (x86)\ASUS\AXSP\1.01.02\atkexComSvc.exe File: C:\Program Files (x86)\ATOL\EthOverUsb\EthOverUsb.exe Virustotal: C:\Program Files\RDP Wrapper\rdpwrap.dll 2018-09-27 23:27 - 2018-09-27 23:31 - 000000069 _____ C:\Users\user1\README.txt 2018-09-27 23:27 - 2018-09-27 23:31 - 000000069 _____ C:\Users\user1\Downloads\README.txt 2018-09-27 23:27 - 2018-09-27 23:31 - 000000069 _____ C:\Users\user1\Documents\README.txt 2018-09-27 23:27 - 2018-09-27 23:31 - 000000069 _____ C:\Users\user1\AppData\Roaming\README.txt 2018-09-27 23:27 - 2018-09-27 23:31 - 000000069 _____ C:\Users\user1\AppData\Local\README.txt 2018-09-27 23:27 - 2018-09-27 23:31 - 000000069 _____ C:\Users\reception\Documents\README.txt 2018-09-27 23:27 - 2018-09-27 23:31 - 000000069 _____ C:\Users\reception\Desktop\README.txt 2018-09-27 23:27 - 2018-09-27 23:31 - 000000069 _____ C:\Users\reception\AppData\Roaming\README.txt 2018-09-27 23:27 - 2018-09-27 23:27 - 000000069 _____ C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2018-09-27 23:27 - 2018-09-27 23:27 - 000000069 _____ C:\Users\reception\README.txt 2018-09-27 23:27 - 2018-09-27 23:27 - 000000069 _____ C:\Users\reception\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2018-09-27 23:26 - 2018-09-27 23:31 - 000001301 _____ C:\Users\Все пользователи\README.txt 2018-09-27 23:26 - 2018-09-27 23:31 - 000001301 _____ C:\ProgramData\README.txt 2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ C:\Users\Public\README.txt 2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ C:\Users\Public\Downloads\README.txt 2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ C:\Users\Public\Documents\README.txt 2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ C:\Users\azarovaa\README.txt 2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ C:\Users\azarovaa\Downloads\README.txt 2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ C:\Users\azarovaa\Documents\README.txt 2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ C:\Users\azarovaa\AppData\Roaming\README.txt 2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ C:\Users\azarovaa\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ C:\Users\azarovaa\AppData\Local\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default\Downloads\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default\Documents\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default\Desktop\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default\AppData\Roaming\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default\AppData\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default\AppData\Local\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default User\Downloads\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default User\Documents\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default User\Desktop\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default User\AppData\Roaming\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default User\AppData\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\Default User\AppData\Local\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\azarovaa\AppData\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Users\azarovaa\AppData\LocalLow\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ C:\Program Files (x86)\README.txt 2018-09-27 23:25 - 2018-09-27 23:25 - 000000069 _____ C:\Program Files\README.txt 2018-09-27 23:25 - 2018-09-27 23:25 - 000000069 _____ C:\Program Files\Common Files\README.txt Folder: C:\Users\azarovaa\AppData\Local\Comms Folder: C:\Users\user1\AppData\Local\Comms Folder: C:\Users\reception\AppData\Roaming\retun File: C:\WINDOWS\system32\FprnM1C.dll Folder: C:\ProgramData\KMSAutoS Folder: C:\Users\reception\AppData\Local\Comms Folder: C:\Users\reception\IntelGraphicsProfiles File: C:\WINDOWS\system32\SET7310.tmp 2018-09-27 23:25 - 2018-09-27 23:25 - 000000069 _____ () C:\Program Files\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ () C:\Program Files (x86)\README.txt 2018-09-27 23:25 - 2018-09-27 23:25 - 000000069 _____ () C:\Program Files\Common Files\README.txt 2018-09-27 23:26 - 2018-09-27 23:26 - 000000069 _____ () C:\Program Files (x86)\Common Files\README.txt 2018-09-27 23:27 - 2018-09-27 23:31 - 000000069 _____ () C:\Users\reception\AppData\Roaming\README.txt 2018-09-27 23:31 - 2018-09-27 23:31 - 000000069 _____ () C:\Users\reception\AppData\Roaming\Microsoft\README.txt 2018-09-27 23:26 - 2018-09-27 23:27 - 000000069 _____ () C:\Users\reception\AppData\Local\README.txt Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 30 сентября, 2018 Share Опубликовано 30 сентября, 2018 Вы прислали только примеры шифрованных файлов, а примеры указанных файлов README.txt и его зашифрованных копий не прислали. На скриншоте видно, что компьютер не выключался с 14 сентября. Найдите это событие, кликните по нему и посмотрите, какое время там указано . В следующий раз загрузка компьютера была уже после шифрования 28 сентября. Следовательно между этими событиями должно быть событие 6006. Точно так же нужно посмотреть его, написать его дату и время, которое указано в нем. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти