Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик dr.decrypt@aol.com

tonenkovs
 Поделиться

Рекомендуемые сообщения

tonenkovs Новичок

tonenkovs

Опубликовано
Опубликовано

Добрый день.

В понедельник при подключении к ПК было выявлено, что все фалы зашифрованы и имеют расширение типа .id-D83E757F.[dr.decrypt@aol.com].dr

На ПК базы 1С, пользователи доступ имели туда.

Шифратор сработал в субботу ночью 06.06.2020.

В компании используем антивирус Касперского, но там его не стояло, так как думали, что работают все со своих компьютеров, а не удаленно.

 

Возможно ли расшифров ать - некоторые базы очень нужны.

Лог прикладываю.

CollectionLog-2020.06.09-09.45.zip

Ссылка на комментарий
Поделиться на другие сайты
tonenkovs Новичок

tonenkovs

Опубликовано
  • Автор
Опубликовано

Так же вот пример оригинального файла и зашифрованного (надеюсь, что не менялся) - это обработка 1С стандартная.

Некоторые файлы сильно отличаются по размеру после шифровки, но я с ними совсем не уверен в их соответствии до зашифровки.

MD83Exp.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, тип вымогателя - Dharma (.cezar Family) или Crysis по терминологии ЛК. Расшифровки нет.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Логи желательно собирать непосредственно на компьютере, а не через терминальную сессию.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
Цитата

FirewallRules: [{E6E539A5-E910-480F-A9BD-5CAE183647FC}] => (Allow) LPort=1541
FirewallRules: [{7335BCB9-2636-4611-A492-B98DCC58CD6E}] => (Allow) LPort=475
FirewallRules: [{B61D9028-8A27-484C-B1A4-A747AF71CC7C}] => (Allow) LPort=475
FirewallRules: [{B4692C6A-816C-41CE-BB3A-86E91C5DE453}] => (Allow) C:\Users\zuev\Downloads\AeroAdmin.exe => No File
FirewallRules: [{709A6395-1F7F-43B4-8AEB-14B8AB0EBCCB}] => (Allow) C:\Users\zuev\Downloads\AeroAdmin.exe => No File
FirewallRules: [{D0DBC637-9C75-43FE-9679-9C30C64E6F0A}] => (Allow) LPort=475
FirewallRules: [{24ACE266-7784-43F0-9143-158BC96C5B21}] => (Allow) LPort=475
FirewallRules: [{17F2E1C1-BB7F-4019-B6EC-679C83D2B866}] => (Allow) LPort=10501
FirewallRules: [{7FE8DBD8-8980-493D-8F58-EA555E212CE4}] => (Allow) LPort=9500
FirewallRules: [{8035473D-47FB-417D-893F-F5963C01902A}] => (Allow) LPort=9600

 

Эти порты открывали самостоятельно?

 

2 часа назад, tonenkovs сказал:

я правильно понимаю, что надежды на расшифровку никакой нет?

Да, правильно. Но прочтите ЛС (конверт в вернем правом углу темы).

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
      
    Start:: 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-06] () [File not signed] 
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-06] () [File not signed] 
URLSearchHook: [S-1-5-21-3331367550-2831446903-894975347-1004] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-21-3331367550-2831446903-894975347-1006] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-1184457765-4068085190-3456807688-2200952327-3769537534] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-1625532266-625503396-2441596095-4129757946-3375356652] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-2652535364-2169709536-2857650723-2622804123-1107741775] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-2885764129-887777008-271615777-1616004480-2722851051] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-3263513310-3392720605-1798839546-683002060-3227631582] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-3763098489-2620711134-3767674660-4164406483-1621732] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-425977601-1203083412-1631309457-2457533047-3321749933] ATTENTION => Default URLSearchHook is missing 
2020-06-06 02:35 - 2020-06-06 02:35 - 000007218 _____ C:\Windows\system32\Info.hta 
2020-06-06 02:35 - 2020-06-06 02:35 - 000007218 _____ C:\Users\Администратор\AppData\Roaming\Info.hta 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\FILES ENCRYPTED.txt 
FirewallRules: [{E6E539A5-E910-480F-A9BD-5CAE183647FC}] => (Allow) LPort=1541 
FirewallRules: [{7335BCB9-2636-4611-A492-B98DCC58CD6E}] => (Allow) LPort=475 
FirewallRules: [{B61D9028-8A27-484C-B1A4-A747AF71CC7C}] => (Allow) LPort=475 
FirewallRules: [{B4692C6A-816C-41CE-BB3A-86E91C5DE453}] => (Allow) C:\Users\zuev\Downloads\AeroAdmin.exe => No File 
FirewallRules: [{709A6395-1F7F-43B4-8AEB-14B8AB0EBCCB}] => (Allow) C:\Users\zuev\Downloads\AeroAdmin.exe => No File 
FirewallRules: [{D0DBC637-9C75-43FE-9679-9C30C64E6F0A}] => (Allow) LPort=475 
FirewallRules: [{24ACE266-7784-43F0-9143-158BC96C5B21}] => (Allow) LPort=475 
FirewallRules: [{17F2E1C1-BB7F-4019-B6EC-679C83D2B866}] => (Allow) LPort=10501 
FirewallRules: [{7FE8DBD8-8980-493D-8F58-EA555E212CE4}] => (Allow) LPort=9500 
FirewallRules: [{8035473D-47FB-417D-893F-F5963C01902A}] => (Allow) LPort=9600 
FirewallRules: [{CC5D0571-1B3B-46BC-8441-E22E26695F22}] => (Allow) C:\Users\zuev\Desktop\AeroAdmin.exe => No File 
FirewallRules: [{5EE67C9E-B41E-4AFB-AD53-5469E094D426}] => (Allow) C:\Users\zuev\Desktop\AeroAdmin.exe => No File 
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST (FRST64) от имени администратора.

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
tonenkovs Новичок

tonenkovs

Опубликовано
  • Автор
Опубликовано

Доброго дня.

Данные FixLog-а (почему-то загрузить файлом лог не удалось):

 

Fix result of Farbar Recovery Scan Tool (x64) Version: 06-06-2020
Ran by serebryakovan (17-06-2020 14:57:14) Run:1
Running from D:\farbar_rt
Loaded Profiles: serebryakovan & MSSQL$MICROSOFT##WID & SSISTELEMETRY130 & SQLTELEMETRY
Boot Mode: Normal
==============================================

fixlist content:
*****************
 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-06] () [File not signed] 
Startup: C:\Users\�������������\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-06] () [File not signed] 
URLSearchHook: [S-1-5-21-3331367550-2831446903-894975347-1004] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-21-3331367550-2831446903-894975347-1006] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-1184457765-4068085190-3456807688-2200952327-3769537534] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-1625532266-625503396-2441596095-4129757946-3375356652] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-2652535364-2169709536-2857650723-2622804123-1107741775] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-2885764129-887777008-271615777-1616004480-2722851051] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-3263513310-3392720605-1798839546-683002060-3227631582] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-3763098489-2620711134-3767674660-4164406483-1621732] ATTENTION => Default URLSearchHook is missing 
URLSearchHook: [S-1-5-80-425977601-1203083412-1631309457-2457533047-3321749933] ATTENTION => Default URLSearchHook is missing 
2020-06-06 02:35 - 2020-06-06 02:35 - 000007218 _____ C:\Windows\system32\Info.hta 
2020-06-06 02:35 - 2020-06-06 02:35 - 000007218 _____ C:\Users\�������������\AppData\Roaming\Info.hta 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\Users\��� ������������\Desktop\FILES ENCRYPTED.txt 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\Users\�������������\Desktop\FILES ENCRYPTED.txt 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt 
2020-06-06 02:35 - 2020-06-06 02:35 - 000000218 _____ C:\FILES ENCRYPTED.txt 
FirewallRules: [{E6E539A5-E910-480F-A9BD-5CAE183647FC}] => (Allow) LPort=1541 
FirewallRules: [{7335BCB9-2636-4611-A492-B98DCC58CD6E}] => (Allow) LPort=475 
FirewallRules: [{B61D9028-8A27-484C-B1A4-A747AF71CC7C}] => (Allow) LPort=475 
FirewallRules: [{B4692C6A-816C-41CE-BB3A-86E91C5DE453}] => (Allow) C:\Users\zuev\Downloads\AeroAdmin.exe => No File 
FirewallRules: [{709A6395-1F7F-43B4-8AEB-14B8AB0EBCCB}] => (Allow) C:\Users\zuev\Downloads\AeroAdmin.exe => No File 
FirewallRules: [{D0DBC637-9C75-43FE-9679-9C30C64E6F0A}] => (Allow) LPort=475 
FirewallRules: [{24ACE266-7784-43F0-9143-158BC96C5B21}] => (Allow) LPort=475 
FirewallRules: [{17F2E1C1-BB7F-4019-B6EC-679C83D2B866}] => (Allow) LPort=10501 
FirewallRules: [{7FE8DBD8-8980-493D-8F58-EA555E212CE4}] => (Allow) LPort=9500 
FirewallRules: [{8035473D-47FB-417D-893F-F5963C01902A}] => (Allow) LPort=9600 
FirewallRules: [{CC5D0571-1B3B-46BC-8441-E22E26695F22}] => (Allow) C:\Users\zuev\Desktop\AeroAdmin.exe => No File 
FirewallRules: [{5EE67C9E-B41E-4AFB-AD53-5469E094D426}] => (Allow) C:\Users\zuev\Desktop\AeroAdmin.exe => No File 

*****************

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta => moved successfully
"C:\Users\�������������\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta" => not found
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
Could not restore Default URLSearchHook.
C:\Windows\system32\Info.hta => moved successfully
"C:\Users\�������������\AppData\Roaming\Info.hta" => not found
"C:\Users\��� ������������\Desktop\FILES ENCRYPTED.txt" => not found
"C:\Users\�������������\Desktop\FILES ENCRYPTED.txt" => not found
C:\Users\Public\Desktop\FILES ENCRYPTED.txt => moved successfully
"C:\ProgramData\Desktop\FILES ENCRYPTED.txt" => not found
C:\FILES ENCRYPTED.txt => moved successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{E6E539A5-E910-480F-A9BD-5CAE183647FC}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{7335BCB9-2636-4611-A492-B98DCC58CD6E}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{B61D9028-8A27-484C-B1A4-A747AF71CC7C}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{B4692C6A-816C-41CE-BB3A-86E91C5DE453}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{709A6395-1F7F-43B4-8AEB-14B8AB0EBCCB}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{D0DBC637-9C75-43FE-9679-9C30C64E6F0A}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{24ACE266-7784-43F0-9143-158BC96C5B21}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{17F2E1C1-BB7F-4019-B6EC-679C83D2B866}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{7FE8DBD8-8980-493D-8F58-EA555E212CE4}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{8035473D-47FB-417D-893F-F5963C01902A}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{CC5D0571-1B3B-46BC-8441-E22E26695F22}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{5EE67C9E-B41E-4AFB-AD53-5469E094D426}" => removed successfully

==== End of Fixlog 14:57:14 ====

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Файл fixlist.txt не нужно было создавать. А если уж создали, то сохранять его нужно было в Unicode кодировке.

 

Повторите еще раз фикс по приведенной инструкции: скопировать, запустить FRST, нажать Fix. Скрипт будет выполнен из буфера обмена.

Ссылка на комментарий
Поделиться на другие сайты
tonenkovs Новичок

tonenkovs

Опубликовано
  • Автор
Опубликовано
17.06.2020 в 15:33, Sandor сказал:

Файл fixlist.txt не нужно было создавать. А если уж создали, то сохранять его нужно было в Unicode кодировке.

 

Повторите еще раз фикс по приведенной инструкции: скопировать, запустить FRST, нажать Fix. Скрипт будет выполнен из буфера обмена.

Доброго дня.

Выполнено из буфера.

Fixlog2.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты
tonenkovs Новичок

tonenkovs

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:

Проверьте уязвимые места:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

Во вложении

securitycheck.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.19003 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба остановлена
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50907.0 Внимание! Скачать обновления
TeamViewer 14 v.14.2.8352 Внимание! Скачать обновления
WinSCP 5.13.1 v.5.13.1 Внимание! Скачать обновления
OpenOffice 4.1.2 v.4.12.9782 Внимание! Скачать обновления
Foxit Reader v.5.4.2.901 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
-------------------------------- [ Arch ] ---------------------------------
7-Zip 16.02 (x64) v.16.02 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
7-Zip 16.02 v.16.02 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
--------------------------------- [ IM ] ----------------------------------
Microsoft Teams v.1.2.00.17057 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5 v.3.50.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 231 (64-bit) v.8.0.2310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u251-windows-x64.exe)^
 

 

Пароль на RDP смените.

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...