Отец Порфирий 0 Опубликовано 21 января, 2019 Share Опубликовано 21 января, 2019 Поймали шифровальщика, нужно расшифровать файлы, лог прикрепляю. CollectionLog-2019.01.21-14.54.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 21 января, 2019 Share Опубликовано 21 января, 2019 Здравствуйте! Система загружена в режиме защиты от сбоев (SafeMode), почему? В нормальном режиме не загружается? Если загружается, переделайте из нормального. Через Панель управления - Удаление программ - удалите нежелательное ПО: TAP-Windows 9.21.2 Если есть записка с требованием выкупа, её вместе с парой зашифрованных файлов упакуйте в архив и прикрепите к следующему сообщению. 1 Ссылка на сообщение Поделиться на другие сайты
Отец Порфирий 0 Опубликовано 21 января, 2019 Автор Share Опубликовано 21 января, 2019 (изменено) Переделал, файлы прикрепил. TAP-Windows необходим для работы VPN. CollectionLog-2019.01.21-15.54.zip Записка.zip Изменено 21 января, 2019 пользователем Отец Порфирий Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 21 января, 2019 Share Опубликовано 21 января, 2019 TAP-Windows необходимВиноват, должен был уточнить сами ли устанавливали. Оставьте, конечно. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RebootWindows(false); end. Компьютер перезагрузится. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Если есть записка с требованием выкупа, её вместе с парой зашифрованных файлов упакуйте в архив и прикрепите к следующему сообщению.Ждём.Записка - один из файлов README.txt 1 Ссылка на сообщение Поделиться на другие сайты
Отец Порфирий 0 Опубликовано 21 января, 2019 Автор Share Опубликовано 21 января, 2019 Файлы прикрепил. FRST.txt Addition.txt README.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 21 января, 2019 Share Опубликовано 21 января, 2019 вместе с парой зашифрованных файлов упакуйте в архивПро файлы забыли. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM-x32\...\Run: [647840] => 647840 Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Task: {3D2034D4-ECA0-4F36-8ABF-7FBE45A70E95} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet] Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 1 Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 21 января, 2019 Share Опубликовано 21 января, 2019 + - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите: -[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Private Character Editor.lnk" -> ["C:\Windows\system32\eudcedit.exe"] -[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\computer.lnk" -> [""] -[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Windows Explorer.lnk" -> ["C:\Windows\explorer.exe"] -[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Run.lnk" -> [""] -[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance\Help.lnk" -> [""] -[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Command Prompt.lnk" -> ["C:\Windows\system32\cmd.exe"] -[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\On-Screen Keyboard.lnk" -> ["C:\Windows\system32\osk.exe"] -[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk" -> ["C:\Windows\system32\narrator.exe"] -[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Magnify.lnk" -> ["C:\Windows\system32\magnify.exe"] -[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Ease of Access.lnk" -> ["C:\Windows\system32\control.exe" =>> /name Microsoft.EaseOfAccessCenter] -[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk" -> ["C:\Windows\system32\WFS.exe" =>> /SendTo] -[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk" -> ["C:\Windows\system32\notepad.exe"] -[h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Control Panel.lnk" -> [""] >>> [h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe" =>> -extoff] >>> [h] "C:\Users\logist\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk" -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe"] 1 Ссылка на сообщение Поделиться на другие сайты
Отец Порфирий 0 Опубликовано 22 января, 2019 Автор Share Опубликовано 22 января, 2019 @Sandor, Лог и зашифрованные файлы в архиве прикрепил. @regist, Лог прикрепил. Fixlog.txt Зашифрованные файлы.zip ClearLNK-2019.01.22_08.39.02.log Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 22 января, 2019 Share Опубликовано 22 января, 2019 зашифрованные файлы в архиве прикрепилЭто ярлыки. Прикрепите еще парочку офисных документов или картинки. 1 Ссылка на сообщение Поделиться на другие сайты
Отец Порфирий 0 Опубликовано 22 января, 2019 Автор Share Опубликовано 22 января, 2019 @Sandor, Прикрепил. Зашифрованные файлы.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 22 января, 2019 Share Опубликовано 22 января, 2019 Увы, нашими силами не получается. Но, при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Вполне вероятно там смогут помочь. 1 Ссылка на сообщение Поделиться на другие сайты
Отец Порфирий 0 Опубликовано 22 января, 2019 Автор Share Опубликовано 22 января, 2019 @Sandor, Запрос им отправлен, спасибо за помощь. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 22 января, 2019 Share Опубликовано 22 января, 2019 Результат, пожалуйста, сообщите здесь тоже. Ссылка на сообщение Поделиться на другие сайты
Отец Порфирий 0 Опубликовано 25 января, 2019 Автор Share Опубликовано 25 января, 2019 Пришел ответ от техподдержки: Здравствуйте!Исходя из полученной информации мы можем предложить Вам следующее решение:Благодарим за ожидание!Файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Cryakl.К сожалению, на данный момент расшифровка невозможна. Однако троян шифрует только первые 50Кб каждого файла, поэтому возможно, что какие-либо сторонние утилиты смогут восстановить повреждённые файлы определённых форматов.Также обращаем Ваше внимание, что, по нашим данным, злоумышленники могут использовать подбор паролей RDP чтобы получить доступ к машине жертвы и вручную запустить на ней шифровальщик, поэтому во избежание повторного заражения, пожалуйста, смените пароль для удалённого доступа.Если у Вас есть дополнительные вопросы, пожалуйста, ответьте на данное сообщение, сохранив номер запроса в теме письма (INC000010076950).Пожалуйста, обратите внимание, что в случае, если ответ от Вас не будет получен в течение 5 дней, запрос будет расценён как решённый или не требующий ответа и будет автоматически закрыт.С уважением,Служба Технической ПоддержкиАО "Лаборатория Касперского" 1 Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 25 января, 2019 Share Опубликовано 25 января, 2019 Проверьте уязвимые места: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. 1 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти