Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Взломали и зашифровали рабочие файлы

DIANAT
 Share Подписчики 1

Рекомендуемые сообщения

DIANAT

DIANAT 0

Опубликовано
Опубликовано

Неизвестные "товарищи" проникли на комп, зашифровали файлы необходимые в ежедневной трудовой деятельности. Расщирение файлов стало .omerta. Укокошены файлы pdf. excel. pst. базы данных... Как обычно предложение приобрести Декриптор. Логи сделал. 

Возможно с этим кто-то уже сталкивался и сможет помочь.

Ссылка на сообщение
Поделиться на другие сайты
DIANAT

DIANAT 0

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Логи сделал

Вероятно не нажали кнопку "Загрузить".

 

Да, забыл. Куда ни сунься на компе, везде кранты :(

 

 

CollectionLog-2019.02.22-14.05.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 296

Опубликовано
Опубликовано

Обновления системы ставятся?

Заражение произошло точно на этом компьютере?

 

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
DIANAT

DIANAT 0

Опубликовано
  • Автор
Опубликовано

Система обновляется.

Заражение началось с этого компа (с него сканы), а потом "перекинулось" на сервак и там похозяйничало...


После перекодировки оставляет текстовый файл в каждой папке

Addition.txt

FRST.txt

READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 296

Опубликовано
Опубликовано

С расшифровкой помочь не сможем.

Смените пароли на RDP.

 

Файл

C:\HKEY_USERS.reg

аккуратно упакуйте в архив и прикрепите к следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Наталья Белоусова
      Помогите, пожалуйста, найти дешифратор! От злоумышленников пострадали дети.
      От Наталья Белоусова
      Добрый день!
      Сервер Центра детского творчества подвергся хакерской атаке. В итоге все файлы зашифрованы, половина работы центра парализована. Злоумышленники требуют выкуп, на который, разумеется, у муниципального учреждения денег нет.
      Помогите, пожалуйста, решить проблему!
       
      Ссылка на зашифрованный файл
      ynejqhawaqsitlo.txt
    • Bureg
      Шифровальщик EnceryptedFiles@tutanota.com и декриптор к нему.
      От Bureg
      Доброго,
      у меня две темы -
      1. Есть сервер заражённый шифровальщиком с указанием почты - EnceryptedFiles@tutanota.com, имена файлов выглядят следующим образом - ИмяФайла.Расширение=[249B6518].email=[EnceryptedFiles@tutanota.com].ziggy Я получил на эти файлы декриптор, прилагаю его к письму, как отчёт с заражённого сервера. Вопрос состоит в том, что он не расшифровывает файлы, которые больше 800Mb. Мошенники пытаются это поправить, но у них ничего не получается пока. Я прошу помочь с этой проблемой, научить декриптор работать с большими файлами, если надо то предоставлю для тестов. Ну и вам наверное будет полезно получить декриптор, хотя я в этом не уверен.
       
      2. Есть сервер заражённый шифровальщиком с указанием почты - spadefiles@tutanota.ru, имена файлов выглядят следующим образом - ИмяФайла.Расширение.[SpadeFiles@tutanota.com][YNGW9CXQDV5A1HK].Spade. Декриптора у меня нет. Вопрос в следующем - можно ли декриптор из первого случая переделать во второй? и поможете ли вы с этим?
       
      Прилагаю две версии декриптора к первому случаю. 249B6518 - прислали первый раз, 249B6518_4Tu8tWS - прислали во второй раз.  
      CollectionLog-2020.12.18-09.59.zip decriptor.zip
×
×
  • Создать...