DimetriusVN 0 Опубликовано 24 марта, 2020 Share Опубликовано 24 марта, 2020 Добрый день! Подскажите есть ли возможность расшифровать данные после шифровальщика. Все базы 1с и копии были зашифрованы к файлам добавляется "Email=[darkencryptor@tutanota.com]ID=[XK1R47OT65P03MQ].odveta" Прилагаю архив с логами. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 24 марта, 2020 Share Опубликовано 24 марта, 2020 Здравствуйте! Вероятно вы не нажали кнопку "Загрузить". Ссылка на сообщение Поделиться на другие сайты
DimetriusVN 0 Опубликовано 24 марта, 2020 Автор Share Опубликовано 24 марта, 2020 Здравствуйте! Вероятно вы не нажали кнопку "Загрузить". Прошу прощения CollectionLog-2020.03.24-10.10.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 24 марта, 2020 Share Опубликовано 24 марта, 2020 Заражение точно произошло на этом компьютере? Если да, дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Параллельно создайте запрос на расшифровку. p.s. Не цитируйте полностью предыдущее сообщение, используйте форму "Ответить" внизу. + Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Ссылка на сообщение Поделиться на другие сайты
DimetriusVN 0 Опубликовано 24 марта, 2020 Автор Share Опубликовано 24 марта, 2020 Данные от AVZ пришлю чуть позже Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 24 марта, 2020 Share Опубликовано 24 марта, 2020 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKU\S-1-5-21-1713364850-2525466478-1260142452-1000\...\MountPoints2: F - F:\start.exe HKU\S-1-5-21-1713364850-2525466478-1260142452-1000\...\MountPoints2: {0edf074b-b2a7-11e9-a0b3-7085c240d3ce} - F:\start.exe HKU\S-1-5-21-1713364850-2525466478-1260142452-1000\...\MountPoints2: {ca2c8ef9-9868-11e7-b8e6-806e6f6e6963} - E:\ASRSetup.exe GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {3314FF23-5DDB-42FF-BEDC-CFB956A2FE46} - \My top apps -> No File <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION HKU\S-1-5-21-1713364850-2525466478-1260142452-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION SearchScopes: HKU\S-1-5-21-1713364850-2525466478-1260142452-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BB3B99F26-562E-401B-A6DE-53821D4707F0%7D&gp=811610 CHR HomePage: Default -> inline.go.mail.ru CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811600" CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B4BE011F3-0410-4A63-9BD4-808612850B56%7D&gp=811610 CHR DefaultSearchKeyword: Default -> go.mail.ru CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms} C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhjhnafpiilpffhglajcaepjbnbjemci C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcadgijmedbfgciegjomfpjcdchlhnif C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\lgdnilodcpljomelbbnpgdogdbmclbni Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 2020-03-22 03:49 вероятно был взлом RDP, отключен антивирус и запущен вредонос. Пароль на RDP смените. Ссылка на сообщение Поделиться на другие сайты
DimetriusVN 0 Опубликовано 24 марта, 2020 Автор Share Опубликовано 24 марта, 2020 (изменено) Результаты проверки карантина: https://virusinfo.info/virusdetector/report.php?md5=F2A2F7F045E7D6AA4B5BBB59610E43CB Файл после выполнения скрипта Fixlog.txt Изменено 24 марта, 2020 пользователем DimetriusVN 1 Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 24 марта, 2020 Share Опубликовано 24 марта, 2020 Напоминаю: создайте запрос на расшифровку.Но обрадовать нечем. Это Ouroboros и расшифровки скорее всего нет. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
DimetriusVN 0 Опубликовано 24 марта, 2020 Автор Share Опубликовано 24 марта, 2020 (изменено) Прикрепляю файл. Напоминаю: создайте запрос на расшифровку.Но обрадовать нечем. Это Ouroboros и расшифровки скорее всего нет.Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. В техподдержке написали следующее "файлы зашифрованы троянской программой Trojan-Ransom.Win32.Shade", может ли помочь https://support.kaspersky.ru/13059#block2 ? Изменено 24 марта, 2020 пользователем DimetriusVN Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 24 марта, 2020 Share Опубликовано 24 марта, 2020 Прикрепляю файлОпять не нажали "Загрузить". может ли помочь https://support.kasp...ru/13059#block2 ?Это подходило только для ранних версий. Ссылка на сообщение Поделиться на другие сайты
DimetriusVN 0 Опубликовано 24 марта, 2020 Автор Share Опубликовано 24 марта, 2020 Со мной сегодня явно что-то не то Прикрепляю файлОпять не нажали "Загрузить".может ли помочь https://support.kasp...ru/13059#block2 ?Это подходило только для ранних версий. SecurityCheck.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 24 марта, 2020 Share Опубликовано 24 марта, 2020 ------------------------------- [ Windows ] ------------------------------- Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз Internet Explorer 11.0.9600.16428 Внимание! Скачать обновления Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Учетная запись гостя включена. Пароль не установлен. --------------------------- [ OtherUtilities ] ---------------------------- Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновления Foxit Reader v.9.4.0.16811 Внимание! Скачать обновления ^Локализованные версии могут обновляться позже англоязычных!^ --------------------------------- [ SPY ] --------------------------------- AnyDesk v.ad 5.4.2 Внимание! Программа удаленного доступа! --------------------------- [ AdobeProduction ] --------------------------- Adobe Acrobat Reader DC - Russian v.19.008.20071 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- Yandex v.19.12.4.25 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ Mozilla Firefox 56.0 (x86 ru) v.56.0 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ Opera Stable 67.0.3575.79 v.67.0.3575.79 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ ---------------------------- [ UnwantedApps ] ----------------------------- CpuzApp4 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Кнопка "Яндекс" на панели задач v.2.0.1.2170 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. My-top-apps, версия 1.0 v.1.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Перечисленное по возможности исправьте/обновите. Последний блок - нежелательное ПО. Личные сообщения прочли? На заметку - Рекомендации после удаления вредоносного ПО Ссылка на сообщение Поделиться на другие сайты
DimetriusVN 0 Опубликовано 25 марта, 2020 Автор Share Опубликовано 25 марта, 2020 Спасибо за советы, сегодня исправим. Личку читал, подумаем. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти