Перейти к содержанию

Шифровальщик dr.decrypt@aol.com


Рекомендуемые сообщения

Добрый день.

В понедельник при подключении к ПК было выявлено, что все фалы зашифрованы и имеют расширение типа .id-D83E757F.[dr.decrypt@aol.com].dr

На ПК базы 1С, пользователи доступ имели туда.

Шифратор сработал в субботу ночью 06.06.2020.

В компании используем антивирус Касперского, но там его не стояло, так как думали, что работают все со своих компьютеров, а не удаленно.

 

Возможно ли расшифров ать - некоторые базы очень нужны.

Лог прикладываю.

CollectionLog-2020.06.09-09.45.zip

Ссылка на комментарий
Поделиться на другие сайты

Так же вот пример оригинального файла и зашифрованного (надеюсь, что не менялся) - это обработка 1С стандартная.

Некоторые файлы сильно отличаются по размеру после шифровки, но я с ними совсем не уверен в их соответствии до зашифровки.

MD83Exp.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, тип вымогателя - Dharma (.cezar Family) или Crysis по терминологии ЛК. Расшифровки нет.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Логи желательно собирать непосредственно на компьютере, а не через терминальную сессию.

Ссылка на комментарий
Поделиться на другие сайты

Цитата

FirewallRules: [{E6E539A5-E910-480F-A9BD-5CAE183647FC}] => (Allow) LPort=1541
FirewallRules: [{7335BCB9-2636-4611-A492-B98DCC58CD6E}] => (Allow) LPort=475
FirewallRules: [{B61D9028-8A27-484C-B1A4-A747AF71CC7C}] => (Allow) LPort=475
FirewallRules: [{B4692C6A-816C-41CE-BB3A-86E91C5DE453}] => (Allow) C:\Users\zuev\Downloads\AeroAdmin.exe => No File
FirewallRules: [{709A6395-1F7F-43B4-8AEB-14B8AB0EBCCB}] => (Allow) C:\Users\zuev\Downloads\AeroAdmin.exe => No File
FirewallRules: [{D0DBC637-9C75-43FE-9679-9C30C64E6F0A}] => (Allow) LPort=475
FirewallRules: [{24ACE266-7784-43F0-9143-158BC96C5B21}] => (Allow) LPort=475
FirewallRules: [{17F2E1C1-BB7F-4019-B6EC-679C83D2B866}] => (Allow) LPort=10501
FirewallRules: [{7FE8DBD8-8980-493D-8F58-EA555E212CE4}] => (Allow) LPort=9500
FirewallRules: [{8035473D-47FB-417D-893F-F5963C01902A}] => (Allow) LPort=9600

 

Эти порты открывали самостоятельно?

 

2 часа назад, tonenkovs сказал:

я правильно понимаю, что надежды на расшифровку никакой нет?

Да, правильно. Но прочтите ЛС (конверт в вернем правом углу темы).

Ссылка на комментарий
Поделиться на другие сайты

15 минут назад, Sandor сказал:

 

Эти порты открывали самостоятельно?

 

Это прежний админ открывал, который обслуживал контору. 

 

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
     
    Start:: 
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-06] () [File not signed] 
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-06] () [File not signed] 
    URLSearchHook: [S-1-5-21-3331367550-2831446903-894975347-1004] ATTENTION => Default URLSearchHook is missing 
    URLSearchHook: [S-1-5-21-3331367550-2831446903-894975347-1006] ATTENTION => Default URLSearchHook is missing 
    URLSearchHook: [S-1-5-80-1184457765-4068085190-3456807688-2200952327-3769537534] ATTENTION => Default URLSearchHook is missing 
    URLSearchHook: [S-1-5-80-1625532266-625503396-2441596095-4129757946-3375356652] ATTENTION => Default URLSearchHook is missing 
    URLSearchHook: [S-1-5-80-2652535364-2169709536-2857650723-2622804123-1107741775] ATTENTION => Default URLSearchHook is missing 
    URLSearchHook: [S-1-5-80-2885764129-887777008-271615777-1616004480-2722851051] ATTENTION => Default URLSearchHook is missing 
    URLSearchHook: [S-1-5-80-3263513310-3392720605-1798839546-683002060-3227631582] ATTENTION => Default URLSearchHook is missing 
    URLSearchHook: [S-1-5-80-3763098489-2620711134-3767674660-4164406483-1621732] ATTENTION => Default URLSearchHook is missing 
    URLSearchHook: [S-1-5-80-425977601-1203083412-1631309457-2457533047-3321749933] ATTENTION => Default URLSearchHook is missing 
    2020-06-06 02:35 - 2020-06-06 02:35 - 000007218 _____ C:\Windows\system32\Info.hta 
    2020-06-06 02:35 - 2020-06-06 02:35 - 000007218 _____ C:\Users\Администратор\AppData\Roaming\Info.hta 
    2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt 
    2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt 
    2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 
    2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt 
    2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\FILES ENCRYPTED.txt 
    FirewallRules: [{E6E539A5-E910-480F-A9BD-5CAE183647FC}] => (Allow) LPort=1541 
    FirewallRules: [{7335BCB9-2636-4611-A492-B98DCC58CD6E}] => (Allow) LPort=475 
    FirewallRules: [{B61D9028-8A27-484C-B1A4-A747AF71CC7C}] => (Allow) LPort=475 
    FirewallRules: [{B4692C6A-816C-41CE-BB3A-86E91C5DE453}] => (Allow) C:\Users\zuev\Downloads\AeroAdmin.exe => No File 
    FirewallRules: [{709A6395-1F7F-43B4-8AEB-14B8AB0EBCCB}] => (Allow) C:\Users\zuev\Downloads\AeroAdmin.exe => No File 
    FirewallRules: [{D0DBC637-9C75-43FE-9679-9C30C64E6F0A}] => (Allow) LPort=475 
    FirewallRules: [{24ACE266-7784-43F0-9143-158BC96C5B21}] => (Allow) LPort=475 
    FirewallRules: [{17F2E1C1-BB7F-4019-B6EC-679C83D2B866}] => (Allow) LPort=10501 
    FirewallRules: [{7FE8DBD8-8980-493D-8F58-EA555E212CE4}] => (Allow) LPort=9500 
    FirewallRules: [{8035473D-47FB-417D-893F-F5963C01902A}] => (Allow) LPort=9600 
    FirewallRules: [{CC5D0571-1B3B-46BC-8441-E22E26695F22}] => (Allow) C:\Users\zuev\Desktop\AeroAdmin.exe => No File 
    FirewallRules: [{5EE67C9E-B41E-4AFB-AD53-5469E094D426}] => (Allow) C:\Users\zuev\Desktop\AeroAdmin.exe => No File 
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST (FRST64) от имени администратора.

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Доброго дня.

Данные FixLog-а (почему-то загрузить файлом лог не удалось):

 

Fix result of Farbar Recovery Scan Tool (x64) Version: 06-06-2020
Ran by serebryakovan (17-06-2020 14:57:14) Run:1
Running from D:\farbar_rt
Loaded Profiles: serebryakovan & MSSQL$MICROSOFT##WID & SSISTELEMETRY130 & SQLTELEMETRY
Boot Mode: Normal
==============================================

fixlist content:
*****************
 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-06] () [File not signed] 
Startup: C:\Users\�������������\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-06] () [File not signed] 
URLSearchHook: [S-1-5-21-3331367550-2831446903-894975347-1004] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-21-3331367550-2831446903-894975347-1006] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-1184457765-4068085190-3456807688-2200952327-3769537534] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-1625532266-625503396-2441596095-4129757946-3375356652] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-2652535364-2169709536-2857650723-2622804123-1107741775] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-2885764129-887777008-271615777-1616004480-2722851051] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-3263513310-3392720605-1798839546-683002060-3227631582] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-3763098489-2620711134-3767674660-4164406483-1621732] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-425977601-1203083412-1631309457-2457533047-3321749933] ATTENTION => Default URLSearchHook is missing 
2020-06-06 02:35 - 2020-06-06 02:35 - 000007218 _____ C:\Windows\system32\Info.hta 
2020-06-06 02:35 - 2020-06-06 02:35 - 000007218 _____ C:\Users\�������������\AppData\Roaming\Info.hta 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\Users\��� ������������\Desktop\FILES ENCRYPTED.txt 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\Users\�������������\Desktop\FILES ENCRYPTED.txt 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\FILES ENCRYPTED.txt 
FirewallRules: [{E6E539A5-E910-480F-A9BD-5CAE183647FC}] => (Allow) LPort=1541 
FirewallRules: [{7335BCB9-2636-4611-A492-B98DCC58CD6E}] => (Allow) LPort=475 
FirewallRules: [{B61D9028-8A27-484C-B1A4-A747AF71CC7C}] => (Allow) LPort=475 
FirewallRules: [{B4692C6A-816C-41CE-BB3A-86E91C5DE453}] => (Allow) C:\Users\zuev\Downloads\AeroAdmin.exe => No File 
FirewallRules: [{709A6395-1F7F-43B4-8AEB-14B8AB0EBCCB}] => (Allow) C:\Users\zuev\Downloads\AeroAdmin.exe => No File 
FirewallRules: [{D0DBC637-9C75-43FE-9679-9C30C64E6F0A}] => (Allow) LPort=475 
FirewallRules: [{24ACE266-7784-43F0-9143-158BC96C5B21}] => (Allow) LPort=475 
FirewallRules: [{17F2E1C1-BB7F-4019-B6EC-679C83D2B866}] => (Allow) LPort=10501 
FirewallRules: [{7FE8DBD8-8980-493D-8F58-EA555E212CE4}] => (Allow) LPort=9500 
FirewallRules: [{8035473D-47FB-417D-893F-F5963C01902A}] => (Allow) LPort=9600 
FirewallRules: [{CC5D0571-1B3B-46BC-8441-E22E26695F22}] => (Allow) C:\Users\zuev\Desktop\AeroAdmin.exe => No File 
FirewallRules: [{5EE67C9E-B41E-4AFB-AD53-5469E094D426}] => (Allow) C:\Users\zuev\Desktop\AeroAdmin.exe => No File 

*****************

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta => moved successfully
"C:\Users\�������������\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta" => not found
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
C:\Windows\system32\Info.hta => moved successfully
"C:\Users\�������������\AppData\Roaming\Info.hta" => not found
"C:\Users\��� ������������\Desktop\FILES ENCRYPTED.txt" => not found
"C:\Users\�������������\Desktop\FILES ENCRYPTED.txt" => not found
C:\Users\Public\Desktop\FILES ENCRYPTED.txt => moved successfully
"C:\ProgramData\Desktop\FILES ENCRYPTED.txt" => not found
C:\FILES ENCRYPTED.txt => moved successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{E6E539A5-E910-480F-A9BD-5CAE183647FC}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{7335BCB9-2636-4611-A492-B98DCC58CD6E}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{B61D9028-8A27-484C-B1A4-A747AF71CC7C}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{B4692C6A-816C-41CE-BB3A-86E91C5DE453}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{709A6395-1F7F-43B4-8AEB-14B8AB0EBCCB}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{D0DBC637-9C75-43FE-9679-9C30C64E6F0A}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{24ACE266-7784-43F0-9143-158BC96C5B21}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{17F2E1C1-BB7F-4019-B6EC-679C83D2B866}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{7FE8DBD8-8980-493D-8F58-EA555E212CE4}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{8035473D-47FB-417D-893F-F5963C01902A}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{CC5D0571-1B3B-46BC-8441-E22E26695F22}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{5EE67C9E-B41E-4AFB-AD53-5469E094D426}" => removed successfully

==== End of Fixlog 14:57:14 ====

Ссылка на комментарий
Поделиться на другие сайты

Файл fixlist.txt не нужно было создавать. А если уж создали, то сохранять его нужно было в Unicode кодировке.

 

Повторите еще раз фикс по приведенной инструкции: скопировать, запустить FRST, нажать Fix. Скрипт будет выполнен из буфера обмена.

Ссылка на комментарий
Поделиться на другие сайты

17.06.2020 в 15:33, Sandor сказал:

Файл fixlist.txt не нужно было создавать. А если уж создали, то сохранять его нужно было в Unicode кодировке.

 

Повторите еще раз фикс по приведенной инструкции: скопировать, запустить FRST, нажать Fix. Скрипт будет выполнен из буфера обмена.

Доброго дня.

Выполнено из буфера.

Fixlog2.txt

Ссылка на комментарий
Поделиться на другие сайты

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, Sandor сказал:

Проверьте уязвимые места:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

Во вложении

securitycheck.txt

Ссылка на комментарий
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.19003 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба остановлена
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50907.0 Внимание! Скачать обновления
TeamViewer 14 v.14.2.8352 Внимание! Скачать обновления
WinSCP 5.13.1 v.5.13.1 Внимание! Скачать обновления
OpenOffice 4.1.2 v.4.12.9782 Внимание! Скачать обновления
Foxit Reader v.5.4.2.901 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
-------------------------------- [ Arch ] ---------------------------------
7-Zip 16.02 (x64) v.16.02 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
7-Zip 16.02 v.16.02 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
--------------------------------- [ IM ] ----------------------------------
Microsoft Teams v.1.2.00.17057 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5 v.3.50.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 231 (64-bit) v.8.0.2310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u251-windows-x64.exe)^
 

 

Пароль на RDP смените.

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Serg1619
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • kokc1979
      От kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
×
×
  • Создать...