crusis.to Зашифровано. [how_decrypt@aol.com].HOW

[kost7]

Здравствуйте!

По какой то причине зашифровался рабочий компьютер. Фалы стали иметь вид [how_decrypt@aol.com].HOW. И это при установленном лицензионном антивирусе "Касперский". Проверка на вирусы ни чего не дала.

Зайти для подтверждения лицензии тоже не дает.

Вы сможете помочь в решении проблемы с расшифровкой и удалением вируса?

CollectionLog-2020.06.22-10.10.zip

Изменено 22 июня, 2020 пользователем kost7

[kost7]

Проверка ничего не дала.

 

Изменено 22 июня, 2020 пользователем kost7

[Sandor]

Здравствуйте!

 

2 часа назад, kost7 сказал:

По какой то причине зашифровался рабочий компьютер

Был взлом RDP. Антивирус соответственно был отключен вручную. Пароль на RDP смените.

Расшифровки этой версии вымогателя нет, к сожалению.

 

"Пофиксите" в HijackThis:

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - HKLM\..\Run: [C:\Users\Елена\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\Елена\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - Startup other users: C:\Users\Елена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4-32 - HKLM\..\RunOnce: [{5FC2206B-2EFB-4E79-B11D-C95E27831DAC}] = C:\Windows\system32\cmd.exe /C start /D "C:\Users\F570~1\AppData\Local\Temp" /B {5FC2206B-2EFB-4E79-B11D-C95E27831DAC}.cmd

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[kost7]

Печально, зачем тогда такой Антивирус?(((

FRST.txt Addition.txt

[kost7]

Там же написано в файле, что Касперский его нашел! А почему он его не ликвидировал или не заблокировал?

[Sandor]

20 минут назад, kost7 сказал:

зачем тогда такой Антивирус?(

Вы не поняли. Проблема была не в антивирусе, а в слабом пароле на RDP, TeamVewer или на учетную запись Елена (S-1-5-21-481335415-4087247417-1239602660-1001 - Administrator - Enabled) => C:\Users\Елена

 

Отключите до перезагрузки антивирус.

Выделите следующий код:
 
 

Start:: 
CreateRestorePoint: 
HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta" 
HKLM\...\Run: [C:\Users\Елена\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\Елена\AppData\Roaming\Info.hta" 
GroupPolicy: Restriction ? <==== ATTENTION 
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION 
2020-06-21 02:15 - 2020-06-21 02:15 - 000000216 _____ C:\Users\Елена\Desktop\FILES ENCRYPTED.txt 
2020-06-21 02:15 - 2020-06-21 02:15 - 000000216 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 
2020-06-21 02:15 - 2020-06-21 02:15 - 000000216 _____ C:\FILES ENCRYPTED.txt FirewallRules: 
[{5A8E00EB-0579-4FE7-8E4A-C13F9E4CECC0}] => (Allow) LPort=5130 
Reboot: 
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).

Запустите FRST (FRST64) от имени администратора.

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Изменено 22 июня, 2020 пользователем Sandor

[kost7]

21 минуту назад, Sandor сказал:

Вы не поняли. Проблема была не в антивирусе

Ну конечно не в антивирусе! Установленный Антивирус Касперский не выполнил свою работу! А для чего тогда нужен антивирус если он не делает свою работу?

[Sandor]

Повторяю: злоумышленник взломал пароль, вошел в систему с правами администратора, вручную отключил антивирус и запустил шифрование.

[kost7]

в приложении.

Fixlog.txt

[Sandor]

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[kost7]

В приложении.

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
FileZilla Client 3.5.3 v.3.5.3 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.20.6.1.148 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.0.50 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

2 часа назад, Sandor сказал:

Пароль на RDP смените

 

Читайте Рекомендации после удаления вредоносного ПО