Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

В понедельник при подключении к ПК было выявлено, что все фалы зашифрованы и имеют расширение типа .id-D83E757F.[dr.decrypt@aol.com].dr

На ПК базы 1С, пользователи доступ имели туда.

Шифратор сработал в субботу ночью 06.06.2020.

В компании используем антивирус Касперского, но там его не стояло, так как думали, что работают все со своих компьютеров, а не удаленно.

 

Возможно ли расшифров ать - некоторые базы очень нужны.

Лог прикладываю.

CollectionLog-2020.06.09-09.45.zip

Ссылка на сообщение
Поделиться на другие сайты

Так же вот пример оригинального файла и зашифрованного (надеюсь, что не менялся) - это обработка 1С стандартная.

Некоторые файлы сильно отличаются по размеру после шифровки, но я с ними совсем не уверен в их соответствии до зашифровки.

MD83Exp.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, тип вымогателя - Dharma (.cezar Family) или Crysis по терминологии ЛК. Расшифровки нет.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Логи желательно собирать непосредственно на компьютере, а не через терминальную сессию.

Ссылка на сообщение
Поделиться на другие сайты
Цитата

FirewallRules: [{E6E539A5-E910-480F-A9BD-5CAE183647FC}] => (Allow) LPort=1541
FirewallRules: [{7335BCB9-2636-4611-A492-B98DCC58CD6E}] => (Allow) LPort=475
FirewallRules: [{B61D9028-8A27-484C-B1A4-A747AF71CC7C}] => (Allow) LPort=475
FirewallRules: [{B4692C6A-816C-41CE-BB3A-86E91C5DE453}] => (Allow) C:\Users\zuev\Downloads\AeroAdmin.exe => No File
FirewallRules: [{709A6395-1F7F-43B4-8AEB-14B8AB0EBCCB}] => (Allow) C:\Users\zuev\Downloads\AeroAdmin.exe => No File
FirewallRules: [{D0DBC637-9C75-43FE-9679-9C30C64E6F0A}] => (Allow) LPort=475
FirewallRules: [{24ACE266-7784-43F0-9143-158BC96C5B21}] => (Allow) LPort=475
FirewallRules: [{17F2E1C1-BB7F-4019-B6EC-679C83D2B866}] => (Allow) LPort=10501
FirewallRules: [{7FE8DBD8-8980-493D-8F58-EA555E212CE4}] => (Allow) LPort=9500
FirewallRules: [{8035473D-47FB-417D-893F-F5963C01902A}] => (Allow) LPort=9600

 

Эти порты открывали самостоятельно?

 

2 часа назад, tonenkovs сказал:

я правильно понимаю, что надежды на расшифровку никакой нет?

Да, правильно. Но прочтите ЛС (конверт в вернем правом углу темы).

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
     
    Start:: 
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-06] () [File not signed] 
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-06] () [File not signed] 
    URLSearchHook: [S-1-5-21-3331367550-2831446903-894975347-1004] ATTENTION => Default URLSearchHook is missing 
    URLSearchHook: [S-1-5-21-3331367550-2831446903-894975347-1006] ATTENTION => Default URLSearchHook is missing 
    URLSearchHook: [S-1-5-80-1184457765-4068085190-3456807688-2200952327-3769537534] ATTENTION => Default URLSearchHook is missing 
    URLSearchHook: [S-1-5-80-1625532266-625503396-2441596095-4129757946-3375356652] ATTENTION => Default URLSearchHook is missing 
    URLSearchHook: [S-1-5-80-2652535364-2169709536-2857650723-2622804123-1107741775] ATTENTION => Default URLSearchHook is missing 
    URLSearchHook: [S-1-5-80-2885764129-887777008-271615777-1616004480-2722851051] ATTENTION => Default URLSearchHook is missing 
    URLSearchHook: [S-1-5-80-3263513310-3392720605-1798839546-683002060-3227631582] ATTENTION => Default URLSearchHook is missing 
    URLSearchHook: [S-1-5-80-3763098489-2620711134-3767674660-4164406483-1621732] ATTENTION => Default URLSearchHook is missing 
    URLSearchHook: [S-1-5-80-425977601-1203083412-1631309457-2457533047-3321749933] ATTENTION => Default URLSearchHook is missing 
    2020-06-06 02:35 - 2020-06-06 02:35 - 000007218 _____ C:\Windows\system32\Info.hta 
    2020-06-06 02:35 - 2020-06-06 02:35 - 000007218 _____ C:\Users\Администратор\AppData\Roaming\Info.hta 
    2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt 
    2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt 
    2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 
    2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt 
    2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\FILES ENCRYPTED.txt 
    FirewallRules: [{E6E539A5-E910-480F-A9BD-5CAE183647FC}] => (Allow) LPort=1541 
    FirewallRules: [{7335BCB9-2636-4611-A492-B98DCC58CD6E}] => (Allow) LPort=475 
    FirewallRules: [{B61D9028-8A27-484C-B1A4-A747AF71CC7C}] => (Allow) LPort=475 
    FirewallRules: [{B4692C6A-816C-41CE-BB3A-86E91C5DE453}] => (Allow) C:\Users\zuev\Downloads\AeroAdmin.exe => No File 
    FirewallRules: [{709A6395-1F7F-43B4-8AEB-14B8AB0EBCCB}] => (Allow) C:\Users\zuev\Downloads\AeroAdmin.exe => No File 
    FirewallRules: [{D0DBC637-9C75-43FE-9679-9C30C64E6F0A}] => (Allow) LPort=475 
    FirewallRules: [{24ACE266-7784-43F0-9143-158BC96C5B21}] => (Allow) LPort=475 
    FirewallRules: [{17F2E1C1-BB7F-4019-B6EC-679C83D2B866}] => (Allow) LPort=10501 
    FirewallRules: [{7FE8DBD8-8980-493D-8F58-EA555E212CE4}] => (Allow) LPort=9500 
    FirewallRules: [{8035473D-47FB-417D-893F-F5963C01902A}] => (Allow) LPort=9600 
    FirewallRules: [{CC5D0571-1B3B-46BC-8441-E22E26695F22}] => (Allow) C:\Users\zuev\Desktop\AeroAdmin.exe => No File 
    FirewallRules: [{5EE67C9E-B41E-4AFB-AD53-5469E094D426}] => (Allow) C:\Users\zuev\Desktop\AeroAdmin.exe => No File 
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST (FRST64) от имени администратора.

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Доброго дня.

Данные FixLog-а (почему-то загрузить файлом лог не удалось):

 

Fix result of Farbar Recovery Scan Tool (x64) Version: 06-06-2020
Ran by serebryakovan (17-06-2020 14:57:14) Run:1
Running from D:\farbar_rt
Loaded Profiles: serebryakovan & MSSQL$MICROSOFT##WID & SSISTELEMETRY130 & SQLTELEMETRY
Boot Mode: Normal
==============================================

fixlist content:
*****************
 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-06] () [File not signed] 
Startup: C:\Users\�������������\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-06] () [File not signed] 
URLSearchHook: [S-1-5-21-3331367550-2831446903-894975347-1004] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-21-3331367550-2831446903-894975347-1006] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-1184457765-4068085190-3456807688-2200952327-3769537534] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-1625532266-625503396-2441596095-4129757946-3375356652] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-2652535364-2169709536-2857650723-2622804123-1107741775] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-2885764129-887777008-271615777-1616004480-2722851051] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-3263513310-3392720605-1798839546-683002060-3227631582] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-3763098489-2620711134-3767674660-4164406483-1621732] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-425977601-1203083412-1631309457-2457533047-3321749933] ATTENTION => Default URLSearchHook is missing 
2020-06-06 02:35 - 2020-06-06 02:35 - 000007218 _____ C:\Windows\system32\Info.hta 
2020-06-06 02:35 - 2020-06-06 02:35 - 000007218 _____ C:\Users\�������������\AppData\Roaming\Info.hta 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\Users\��� ������������\Desktop\FILES ENCRYPTED.txt 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\Users\�������������\Desktop\FILES ENCRYPTED.txt 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\FILES ENCRYPTED.txt 
FirewallRules: [{E6E539A5-E910-480F-A9BD-5CAE183647FC}] => (Allow) LPort=1541 
FirewallRules: [{7335BCB9-2636-4611-A492-B98DCC58CD6E}] => (Allow) LPort=475 
FirewallRules: [{B61D9028-8A27-484C-B1A4-A747AF71CC7C}] => (Allow) LPort=475 
FirewallRules: [{B4692C6A-816C-41CE-BB3A-86E91C5DE453}] => (Allow) C:\Users\zuev\Downloads\AeroAdmin.exe => No File 
FirewallRules: [{709A6395-1F7F-43B4-8AEB-14B8AB0EBCCB}] => (Allow) C:\Users\zuev\Downloads\AeroAdmin.exe => No File 
FirewallRules: [{D0DBC637-9C75-43FE-9679-9C30C64E6F0A}] => (Allow) LPort=475 
FirewallRules: [{24ACE266-7784-43F0-9143-158BC96C5B21}] => (Allow) LPort=475 
FirewallRules: [{17F2E1C1-BB7F-4019-B6EC-679C83D2B866}] => (Allow) LPort=10501 
FirewallRules: [{7FE8DBD8-8980-493D-8F58-EA555E212CE4}] => (Allow) LPort=9500 
FirewallRules: [{8035473D-47FB-417D-893F-F5963C01902A}] => (Allow) LPort=9600 
FirewallRules: [{CC5D0571-1B3B-46BC-8441-E22E26695F22}] => (Allow) C:\Users\zuev\Desktop\AeroAdmin.exe => No File 
FirewallRules: [{5EE67C9E-B41E-4AFB-AD53-5469E094D426}] => (Allow) C:\Users\zuev\Desktop\AeroAdmin.exe => No File 

*****************

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta => moved successfully
"C:\Users\�������������\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta" => not found
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
C:\Windows\system32\Info.hta => moved successfully
"C:\Users\�������������\AppData\Roaming\Info.hta" => not found
"C:\Users\��� ������������\Desktop\FILES ENCRYPTED.txt" => not found
"C:\Users\�������������\Desktop\FILES ENCRYPTED.txt" => not found
C:\Users\Public\Desktop\FILES ENCRYPTED.txt => moved successfully
"C:\ProgramData\Desktop\FILES ENCRYPTED.txt" => not found
C:\FILES ENCRYPTED.txt => moved successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{E6E539A5-E910-480F-A9BD-5CAE183647FC}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{7335BCB9-2636-4611-A492-B98DCC58CD6E}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{B61D9028-8A27-484C-B1A4-A747AF71CC7C}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{B4692C6A-816C-41CE-BB3A-86E91C5DE453}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{709A6395-1F7F-43B4-8AEB-14B8AB0EBCCB}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{D0DBC637-9C75-43FE-9679-9C30C64E6F0A}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{24ACE266-7784-43F0-9143-158BC96C5B21}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{17F2E1C1-BB7F-4019-B6EC-679C83D2B866}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{7FE8DBD8-8980-493D-8F58-EA555E212CE4}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{8035473D-47FB-417D-893F-F5963C01902A}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{CC5D0571-1B3B-46BC-8441-E22E26695F22}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{5EE67C9E-B41E-4AFB-AD53-5469E094D426}" => removed successfully

==== End of Fixlog 14:57:14 ====

Ссылка на сообщение
Поделиться на другие сайты

Файл fixlist.txt не нужно было создавать. А если уж создали, то сохранять его нужно было в Unicode кодировке.

 

Повторите еще раз фикс по приведенной инструкции: скопировать, запустить FRST, нажать Fix. Скрипт будет выполнен из буфера обмена.

Ссылка на сообщение
Поделиться на другие сайты
17.06.2020 в 15:33, Sandor сказал:

Файл fixlist.txt не нужно было создавать. А если уж создали, то сохранять его нужно было в Unicode кодировке.

 

Повторите еще раз фикс по приведенной инструкции: скопировать, запустить FRST, нажать Fix. Скрипт будет выполнен из буфера обмена.

Доброго дня.

Выполнено из буфера.

Fixlog2.txt

Ссылка на сообщение
Поделиться на другие сайты

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Sandor сказал:

Проверьте уязвимые места:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

Во вложении

securitycheck.txt

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.19003 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба остановлена
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50907.0 Внимание! Скачать обновления
TeamViewer 14 v.14.2.8352 Внимание! Скачать обновления
WinSCP 5.13.1 v.5.13.1 Внимание! Скачать обновления
OpenOffice 4.1.2 v.4.12.9782 Внимание! Скачать обновления
Foxit Reader v.5.4.2.901 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
-------------------------------- [ Arch ] ---------------------------------
7-Zip 16.02 (x64) v.16.02 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
7-Zip 16.02 v.16.02 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
--------------------------------- [ IM ] ----------------------------------
Microsoft Teams v.1.2.00.17057 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5 v.3.50.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 231 (64-bit) v.8.0.2310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u251-windows-x64.exe)^
 

 

Пароль на RDP смените.

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Петр Василевский
      компьютеры остались включенными на ночь
      утром обнаружил вирус
      курейтом просканил
      прошу помочь
      CollectionLog-2020.07.15-14.21.zip
    • От kost7
      Здравствуйте!
      По какой то причине зашифровался рабочий компьютер. Фалы стали иметь вид [how_decrypt@aol.com].HOW. И это при установленном лицензионном антивирусе "Касперский". Проверка на вирусы ни чего не дала.
      Зайти для подтверждения лицензии тоже не дает.
      Вы сможете помочь в решении проблемы с расшифровкой и удалением вируса?




      CollectionLog-2020.06.22-10.10.zip
    • От x86desman
      Добрый день!
       
      Пойман шифровальщик [openpgp@foxmail.com]. Вирус не успел до конца все зашифровать, но существенная часть информации повреждена. Письма с требованием заплатить не получали. Самостоятельно найденная сторонняя организация говорит, что может помочь, но ценник ставит неподъемный. Однако это намекает на возможность дешифровки? Есть ли возможность помочь? Зашифрованные файлы прилагаются.
       
      Спасибо!
      Народная асвета (1-4).xls.id-A69E42B6.[openpgp@foxmail.com].pgp Первоклассный городской праздник.docx.id-A69E42B6.[openpgp@foxmail.com].pgp
    • От Grid
      Поймали trojan-ransom.win32.crysis.to и зашифровал все с расширением id-70A0A0A5.[how_decrypt@aol.com].HOW
      CollectionLog-2020.06.20-13.24.zip
    • От Jahongir09
      Доброе время суток! Поймали шифровальщика harma. 
      CollectionLog-2020.06.18-23.52.zip
×
×
  • Создать...