Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

Просьба помочь с восстановлением данных. Вчера зашифровались почти все файлы. Вирус открыл для доступа все локальные диски и внешний диск подключенный к роутеру. До другого компьютера подключенному у домашней сети вирус не добрался. Скорее всего нажали на файл NS.exe который каким-то образом оказался на рабочем столе. 

 

Цитата

УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ

 

 

Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, -

наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.

 

Не надо выкладывать на форум вредоносные файлы!

 

CollectionLog-2020.06.12-14.39.zip Screenshot_2020-05-25-10-10-19-949_com.wordoffice.docx.docs.docxreader.freeword.png.id-946A71FD.[openpgp@foxmail.com].pgp

Изменено пользователем mike 1
Карантин в теме
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Это Dharma (.cezar Family) или Crysis по терминологии ЛК. Расшифровки нет.

Можем только помочь очистить систему от его следов, нужно?

Ссылка на сообщение
Поделиться на другие сайты

Давайте очистим. Возможно ли при этой ситуации как-нибудь восстановить файлы? Насколько вероятно что будет расшифровка в ближайшее время?

Ссылка на сообщение
Поделиться на другие сайты

Нет, увы. Или иметь дело с преступниками, или посредниками.

Изменено пользователем akoK
Ссылка на сообщение
Поделиться на другие сайты

Странно конечно но есть сайт где могут помочь расшифровать я отправил им файл на расшифровку и они очень быстро его расшифровали, но ценник в 200000 р как то разорителен, но смущает как у таких гигантов как Касперский, др,вэб, аванс нет дешифратора а у 1го человека есть, ну и скорость расшифровки так сказать космическая, есть подозрение что это 1 человек )  уже готов купить готовую подписку на антивирус если помогут с расшифровкой

Ссылка на сообщение
Поделиться на другие сайты
16 часов назад, Player12 сказал:

Если создать резервную копию файлов, есть шанс что когда появится расшифровщик их можно будет восстановить?

Только если преступник сам опубликует ключи. Но такие прецеденты были, так, что сохраните.

 

13 часов назад, LuxeonSl сказал:

Странно конечно но есть сайт где могут помочь расшифровать я отправил им файл на расшифровку и они очень быстро его расшифровали, но ценник в 200000 р как то разорителен, но смущает как у таких гигантов как Касперский, др,вэб, аванс нет дешифратора а у 1го человека есть, ну и скорость расшифровки так сказать космическая, есть подозрение что это 1 человек )  уже готов купить готовую подписку на антивирус если помогут с расшифровкой

 

Тут нужно обратиться к справке, а именно к понятию: Криптографическая стойкость — свойство криптографического шифра противостоять криптоанализу, то есть анализу, направленному на изучение шифра с целью его дешифрования. Для изучения криптоустойчивости различных алгоритмов была создана специальная теория, рассматривающая типы шифров и их ключи, а также их стойкость. 

 

Если проще, то используется надежный алгоритм шифрования. А из этого делается вывод, что человек, который пытается продать дешифровку связан с преступниками и скорее всего является посредником, который имеет свой процент от сделки (отсюда и огромный ценник). В некоторых случаях можно восстановить БД 1с, т.к. шифровальщик не шифрует большую базу целиком.... с обычными файлами так не работает.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
18 часов назад, Player12 сказал:

Давайте очистим

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится

 

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    GroupPolicy: Restriction ? <==== ATTENTION
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    BHO: No Name -> {A6004AC2-D4EC-4092-AC2D-FF3AEE50CED1}' -> No File
    BHO-x32: No Name -> {A6004AC2-D4EC-4092-AC2D-FF3AEE50CED1}' -> No File
    ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> No File
    ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> No File
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`20hfm [0]
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Достаточно было один раз выполнить фикс.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для обычных пользователей отключен
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitTorrent v.7.10.5.45665 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
µTorrent v.3.5.4.44520 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 9 ActiveX v.9.0.115.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.77.0.3865.90 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Loaris Trojan Remover 3.1.19 v.3.1.19 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Driver Booster 5.5.1.844 v.5.5.1.844 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Media v.1.0.0.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
UmmyVideoDownloader v.1.10.3.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Kerish Doctor 2020 v.4.80 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

В логах с этой системы следов вымогателя не замечено.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
  • thyrex changed the title to [БЕЗ РАСШИФРОВКИ] шифровальщик [openpgp@foxmail.com].pgp
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От kenet42
      Добрый день
      После работы сотрудника его ПК выключился, потом какое-то время не включался
      После восстановление работы оказалось, что все файлы зашифрованы
      Естьобразцы для анализа
      Подскажите, можете помочь с этим?

      Спасибо!
    • От Дима Д
      Добрый день.
      в реальном времени закрылась 1С попытка повторного запуска  выдала ошибку. тут же выключил сервер но пострадали базы и архивы 1С, теперь все файлы умеют окончание id-84417E33.[openpgp@foxmail.com]
      FRST Addition.rar
      CollectionLog-2020.07.22-11.45.zip
    • От Петр Василевский
      компьютеры остались включенными на ночь
      утром обнаружил вирус
      курейтом просканил
      прошу помочь
      CollectionLog-2020.07.15-14.21.zip
    • От BkmzCv
      Видел похожую тему, но если правильно понял, то нужно создать свою отдельную, так как настройки индивидуальные. 
      На компе появился зловред и большую часть файлов переименовал. 
      История событий. Примерно полтора часа назад в "моем компьюторе" стали видимыми системные диска А и В, при этом диски C, D и внешний жеский J оказались в общем доступе. Пользователь сразу отключил комп от сети, потом убрал общий доступ к дискам. После этого сказал мне, что большая часть файлов недоступна. 
      Ни в одной папке не оказалось файлика с требованиями, по этому его не могу добавить. Но за то в файле hostes появилась уйма сайтов, его на всякий случай тоже прилагаю. Сам файл вируса не смогли пока обнаружить. 
      Addition.txt FRST.txt host.txt Palto_03.jpg.id-744C1619.[openpgp@foxmail.com].zip
    • От r2d3
      Добрый день!
      На сервер 1С был пойман шифровальщик, скорее всего через RDP.
      Нет возможности запустить Farbar Recovery Scan Tool из среды восстановления Windows, AutoLogger либо KVRT.


      all your data has been locked us
      You want to return?
      Write email openpgp@foxmail.com

×
×
  • Создать...