nefartanulo Шифровальщик nefartanulo@protonmail.com

[Близнец]

Здравствуйте.

 

Зашифровало почти все, куда можно было добраться. Комп Windows 7, права администратора только у 1 пользователя, под ним вход не был выполнен. Комп используется как сервер для 1С, подключаются по RDP. Каким-то образом создался еще 1 пользователь с правами администратора, и я так подозреваю, что от его имени был запущен процесс шифровки. Прогнал весь  комп DrWeb Curent it, ничего не нашел.

Можно это расшифровать?

FRST.txt Addition.txt зашифрованные файлы.zip

[Sandor]

Здравствуйте!

 

Тип вымогателя пока не определяется, некоторое время подождите.

[Sandor]

Дополнительно, пожалуйста, проделайте следующее:

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы  WinRAR или  7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да"
   .

Подробнее читайте в руководстве Как подготовить лог UVS.
 

Изменено 13 августа, 2020 пользователем Sandor

[Близнец]

AutorunsVTchecker написал "все файлы проверены на virustotal".

UVS лог прилагаю.

 

SERVER_2020-08-13_20-52-46_v4.1.9.7z

[Sandor]

Свяжитесь с Michael Gillespie, он утверждает, что может расшифровать.

[Близнец]

Спасибо за помощь. 1С восстановили из копии, благо не древней, всего 3 дня, а RDP на другой порт перевел. 

[Sandor]

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.