Перейти к содержанию

Рекомендуемые сообщения

Поймали Шифровальщика. Файлы Зашифрованы от 03,11,2019. Запуск был от пользователя rdp со слабым паролем(недосмотрел блин).

 

 

Результаты Farbar Recovery Scan Tool прилагаю 

Addition.txt

FRST.txt

Shortcut.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки этой версии вымогателя нет, к сожалению.

 

Запуск был от пользователя rdp со слабым паролем

Не забудьте сменить пароль, а также пересмотрите большое количество администраторов системы, все ли нужны.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-11-09] () [File not signed]
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/offline/bin/tools/run.hta" "17.7.73 Offline" "1549021994641" "d401a645-61f3-4755-856c-4b31afdfdacd"
    Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
    CHR StartupUrls: Default -> "hxxp://mypoisk.su/"
    CHR DefaultSearchURL: Default -> hxxp://searchtds.ru/?ref=6cd8t&q={searchTerms}&do=search&subaction=search&subId=764sbor
    CHR DefaultSearchKeyword: Default -> mail.ru
    2019-11-09 12:24 - 2019-11-09 12:24 - 000116470 _____ C:\Users\user1\Downloads\local.exe.id-5CA9713F.[cryptocash@aol.com].CASH
    2019-11-03 13:01 - 2019-11-09 12:24 - 000013922 _____ C:\Users\user1\AppData\Roaming\Info.hta
    2019-11-03 13:00 - 2019-11-09 12:24 - 000000220 _____ C:\Users\user1\Desktop\FILES ENCRYPTED.txt
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Видны контрольные точки.

Пробуйте восстановить файлы средствами Windows.

Только будьте внимательны, это не значит откатить всю систему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки этой версии вымогателя нет, к сожалению.

 

Запуск был от пользователя rdp со слабым паролем

Не забудьте сменить пароль, а также пересмотрите большое количество администраторов системы, все ли нужны.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-11-09] () [File not signed]
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/offline/bin/tools/run.hta" "17.7.73 Offline" "1549021994641" "d401a645-61f3-4755-856c-4b31afdfdacd"
    Task: {73627A62-10D5-4948-A140-B47018E2E754} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
    CHR StartupUrls: Default -> "hxxp://mypoisk.su/"
    CHR DefaultSearchURL: Default -> hxxp://searchtds.ru/?ref=6cd8t&q={searchTerms}&do=search&subaction=search&subId=764sbor
    CHR DefaultSearchKeyword: Default -> mail.ru
    2019-11-09 12:24 - 2019-11-09 12:24 - 000116470 _____ C:\Users\user1\Downloads\local.exe.id-5CA9713F.[cryptocash@aol.com].CASH
    2019-11-03 13:01 - 2019-11-09 12:24 - 000013922 _____ C:\Users\user1\AppData\Roaming\Info.hta
    2019-11-03 13:00 - 2019-11-09 12:24 - 000000220 _____ C:\Users\user1\Desktop\FILES ENCRYPTED.txt
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Видны контрольные точки.

Пробуйте восстановить файлы средствами Windows.

Только будьте внимательны, это не значит откатить всю систему.

 

 

Вот

Fixlog.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Есть форма быстрого ответа.

 

Пробуйте восстановить файлы средствами Windows.

Пробовали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да над восстановлением я как то особо не парюсь) есть образ почти всего что было на дисках(благо базу фаербёрда не тронул), просто хочется на 100% быть уверенным что шифратора нет в системе. А так через кого зашли и почему смогли зайти ясно как белый день, 2й раз на эти грабли наступаю. 1но НО на практике даже Сильные пароли не всегда спасают если у клиента РДП на его устройствах слабая защита или пользователь совсем тапочек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

шифратора нет в системе

По логам не видно.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.