vchikarin 0 Опубликовано 3 апреля, 2020 Share Опубликовано 3 апреля, 2020 (изменено) Добрый день Очень нужна помощь в дешифровке файлов Мои знакомые словили шифровальщика на сервере со всеми базами 1С все файлы имеют окончание id-48805447.[manyfiles@aol.com].harma Им бы хотя бы бэкапы расшифровать (дада, бэкапы лежат на том же серврере) Будут весьма благодарны FRST.txt Addition.txt Shortcut.txt Изменено 3 апреля, 2020 пользователем vchikarin Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 3 апреля, 2020 Share Опубликовано 3 апреля, 2020 Расшифровки нет. Будет только зачистка мусора. 1. Выделите следующий код: Start:: CreateRestorePoint: HKLM\...\Run: [] => [X] HKLM\...\Run: [1W72451_payload.exe] => C:\WINDOWS\System32\1W72451_payload.exe [94720 2020-04-02] () HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => C:\WINDOWS\System32\Info.hta [13923 2020-04-02] () HKLM\...\Run: [C:\Documents and Settings\Администратор\Application Data\Info.hta] => C:\Documents and Settings\Администратор\Application Data\Info.hta [13923 2020-04-02] () 2020-04-02 15:14 - 2020-04-02 15:14 - 000013923 _____ C:\Documents and Settings\Администратор\Application Data\Info.hta C:\WINDOWS\System32\Info.hta C:\WINDOWS\System32\1W72451_payload.exe 2020-04-02 15:14 - 2020-04-02 15:14 - 000000224 _____ C:\FILES ENCRYPTED.txt 2020-04-02 15:14 - 2020-04-02 15:14 - 000000224 _____ C:\Documents and Settings\Администратор\Рабочий стол\FILES ENCRYPTED.txt 2020-04-02 15:14 - 2020-04-02 15:14 - 000000224 _____ C:\Documents and Settings\All Users\Рабочий стол\FILES ENCRYPTED.txt 2020-04-02 14:37 - 2020-04-02 14:37 - 000094720 _____ C:\WINDOWS\system32\1W72451_payload.exe 2020-04-02 14:37 - 2019-09-12 21:42 - 000094720 ____R C:\Documents and Settings\Администратор\Рабочий стол\1W72451_payload.exe End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта. Ссылка на сообщение Поделиться на другие сайты
vchikarin 0 Опубликовано 3 апреля, 2020 Автор Share Опубликовано 3 апреля, 2020 (изменено) Вирус еще активен. Доступ есть пока только через RDP. При нажатии на FIX он перезагрузился. И лог зашифровался. Сейчас попробую KVRT прогнать, но там ооочень медленный интернет долго будет закачиваться Fixlog.txt Изменено 3 апреля, 2020 пользователем vchikarin Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 3 апреля, 2020 Share Опубликовано 3 апреля, 2020 Тогда выполните Порядок оформления запроса о помощи. Логи прикрепите к следующему сообщению в данной теме. Ссылка на сообщение Поделиться на другие сайты
vchikarin 0 Опубликовано 3 апреля, 2020 Автор Share Опубликовано 3 апреля, 2020 Пробую, автосборщик работает только через консоль, а у меня RDP, сейчас попробую задействовать AMMYY Собрал логи Если необходимо, могу приложить сам файл вируса CollectionLog-2020.04.03-10.30.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 3 апреля, 2020 Share Опубликовано 3 апреля, 2020 Выполните скрипт в AVZ из папки Autologger begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Documents and Settings\chikarin\Application Data\1W72451_payload.exe',''); QuarantineFile('C:\Documents and Settings\chikarin\Главное меню\Программы\Автозагрузка\1W72451_payload.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\1W72451_payload.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\1W72451_payload.exe',''); TerminateProcessByName('c:\windows\system32\1w72451_payload.exe'); QuarantineFile('c:\windows\system32\1w72451_payload.exe',''); DeleteFile('c:\windows\system32\1w72451_payload.exe','32'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','32'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Info.hta','32'); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','32'); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\Info.hta','32'); DeleteFile('C:\Documents and Settings\chikarin\Главное меню\Программы\Автозагрузка\1W72451_payload.exe','32'); DeleteFile('C:\Documents and Settings\chikarin\Главное меню\Программы\Автозагрузка\Info.hta','32'); DeleteFile('C:\Documents and Settings\chikarin\Application Data\1W72451_payload.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1W72451_payload.exe','x32'); DeleteFile('C:\WINDOWS\System32\Info.hta','32'); DeleteFile('C:\Documents and Settings\chikarin\Application Data\Info.hta','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке ссылке https://virusinfo.info/upload_virus.php?tid=37678. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
vchikarin 0 Опубликовано 3 апреля, 2020 Автор Share Опубликовано 3 апреля, 2020 (изменено) Карантин собрал, загрузил по ссылке Логи собрал CollectionLog-2020.04.03-13.44.zip Изменено 3 апреля, 2020 пользователем vchikarin Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 3 апреля, 2020 Share Опубликовано 3 апреля, 2020 Теперь сделайте новый лог FRST.txt Ссылка на сообщение Поделиться на другие сайты
vchikarin 0 Опубликовано 3 апреля, 2020 Автор Share Опубликовано 3 апреля, 2020 готово FRST.txt Addition.txt Shortcut.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 3 апреля, 2020 Share Опубликовано 3 апреля, 2020 1. Выделите следующий код: Start:: CreateRestorePoint: HKLM\...\Run: [C:\WINDOWS\System32\Info.hta] => mshta.exe "C:\WINDOWS\System32\Info.hta" HKLM\...\Run: [C:\Documents and Settings\chikarin\Application Data\Info.hta] => mshta.exe "C:\Documents and Settings\chikarin\Application Data\Info.hta" HKLM\...\Run: [C:\Documents and Settings\Пользователь1.SERVER\Application Data\Info.hta] => C:\Documents and Settings\Пользователь1.SERVER\Application Data\Info.hta [13923 2020-04-03] () [File not signed] S3 WinHttpAutoProxySvc; winhttp.dll [X] S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] 2020-04-03 11:49 - 2020-04-03 11:49 - 000013923 _____ C:\Documents and Settings\Пользователь1.SERVER\Application Data\Info.hta 2020-04-03 09:51 - 2020-04-03 11:49 - 000000224 _____ C:\FILES ENCRYPTED.txt 2020-04-03 09:51 - 2020-04-03 11:49 - 000000224 _____ C:\Documents and Settings\All Users\Рабочий стол\FILES ENCRYPTED.txt 2020-04-03 09:51 - 2020-04-03 10:31 - 000000224 _____ C:\Documents and Settings\chikarin\Рабочий стол\FILES ENCRYPTED.txt End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта. Ссылка на сообщение Поделиться на другие сайты
vchikarin 0 Опубликовано 3 апреля, 2020 Автор Share Опубликовано 3 апреля, 2020 Прикрепил Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 3 апреля, 2020 Share Опубликовано 3 апреля, 2020 Больше помочь нечем Ссылка на сообщение Поделиться на другие сайты
vchikarin 0 Опубликовано 3 апреля, 2020 Автор Share Опубликовано 3 апреля, 2020 ОК, спасибо. Видать придется им заплатить вымогателям Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти