Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

По какой то причине зашифровался рабочий компьютер. Фалы стали иметь вид [how_decrypt@aol.com].HOW. И это при установленном лицензионном антивирусе "Касперский". Проверка на вирусы ни чего не дала.

Зайти для подтверждения лицензии тоже не дает.

Вы сможете помочь в решении проблемы с расшифровкой и удалением вируса?

HOW.jpg

HOW2.jpg

HOW3.jpg

HOW4.jpg

CollectionLog-2020.06.22-10.10.zip

Изменено пользователем kost7
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

2 часа назад, kost7 сказал:

По какой то причине зашифровался рабочий компьютер

Был взлом RDP. Антивирус соответственно был отключен вручную. Пароль на RDP смените.

Расшифровки этой версии вымогателя нет, к сожалению.

 

"Пофиксите" в HijackThis:

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - HKLM\..\Run: [C:\Users\Елена\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\Елена\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - Startup other users: C:\Users\Елена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4-32 - HKLM\..\RunOnce: [{5FC2206B-2EFB-4E79-B11D-C95E27831DAC}] = C:\Windows\system32\cmd.exe /C start /D "C:\Users\F570~1\AppData\Local\Temp" /B {5FC2206B-2EFB-4E79-B11D-C95E27831DAC}.cmd

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
20 минут назад, kost7 сказал:

зачем тогда такой Антивирус?(

Вы не поняли. Проблема была не в антивирусе, а в слабом пароле на RDP, TeamVewer или на учетную запись Елена (S-1-5-21-481335415-4087247417-1239602660-1001 - Administrator - Enabled) => C:\Users\Елена

 

Отключите до перезагрузки антивирус.

Выделите следующий код:
 
 

Start:: 
CreateRestorePoint: 
HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta" 
HKLM\...\Run: [C:\Users\Елена\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\Елена\AppData\Roaming\Info.hta" 
GroupPolicy: Restriction ? <==== ATTENTION 
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION 
2020-06-21 02:15 - 2020-06-21 02:15 - 000000216 _____ C:\Users\Елена\Desktop\FILES ENCRYPTED.txt 
2020-06-21 02:15 - 2020-06-21 02:15 - 000000216 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 
2020-06-21 02:15 - 2020-06-21 02:15 - 000000216 _____ C:\FILES ENCRYPTED.txt FirewallRules: 
[{5A8E00EB-0579-4FE7-8E4A-C13F9E4CECC0}] => (Allow) LPort=5130 
Reboot: 
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).

Запустите FRST (FRST64) от имени администратора.

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
21 минуту назад, Sandor сказал:

Вы не поняли. Проблема была не в антивирусе

Ну конечно не в антивирусе! Установленный Антивирус Касперский не выполнил свою работу! А для чего тогда нужен антивирус если он не делает свою работу?

Ссылка на сообщение
Поделиться на другие сайты

Повторяю: злоумышленник взломал пароль, вошел в систему с правами администратора, вручную отключил антивирус и запустил шифрование.

Ссылка на сообщение
Поделиться на другие сайты

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
FileZilla Client 3.5.3 v.3.5.3 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.20.6.1.148 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.0.50 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

2 часа назад, Sandor сказал:

Пароль на RDP смените

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Петр Василевский
      От Петр Василевский
      компьютеры остались включенными на ночь
      утром обнаружил вирус
      курейтом просканил
      прошу помочь
      CollectionLog-2020.07.15-14.21.zip
    • x86desman
      От x86desman
      Добрый день!
       
      Пойман шифровальщик [openpgp@foxmail.com]. Вирус не успел до конца все зашифровать, но существенная часть информации повреждена. Письма с требованием заплатить не получали. Самостоятельно найденная сторонняя организация говорит, что может помочь, но ценник ставит неподъемный. Однако это намекает на возможность дешифровки? Есть ли возможность помочь? Зашифрованные файлы прилагаются.
       
      Спасибо!
      Народная асвета (1-4).xls.id-A69E42B6.[openpgp@foxmail.com].pgp Первоклассный городской праздник.docx.id-A69E42B6.[openpgp@foxmail.com].pgp
    • tonenkovs
      От tonenkovs
      Добрый день.
      В понедельник при подключении к ПК было выявлено, что все фалы зашифрованы и имеют расширение типа .id-D83E757F.[dr.decrypt@aol.com].dr
      На ПК базы 1С, пользователи доступ имели туда.
      Шифратор сработал в субботу ночью 06.06.2020.
      В компании используем антивирус Касперского, но там его не стояло, так как думали, что работают все со своих компьютеров, а не удаленно.
       
      Возможно ли расшифров ать - некоторые базы очень нужны.
      Лог прикладываю.
      CollectionLog-2020.06.09-09.45.zip
    • Grid
      От Grid
      Поймали trojan-ransom.win32.crysis.to и зашифровал все с расширением id-70A0A0A5.[how_decrypt@aol.com].HOW
      CollectionLog-2020.06.20-13.24.zip
    • Jahongir09
      От Jahongir09
      Доброе время суток! Поймали шифровальщика harma. 
      CollectionLog-2020.06.18-23.52.zip
×
×
  • Создать...