Перейти к содержанию

Рекомендуемые сообщения

Утром обнаружили зашифрованные файлы баз данных 1С и документов honeststandhope@qq.com   

можно  ли расшифровать данные   

Ссылка на сообщение
Поделиться на другие сайты
9 минут назад, Sandor сказал:

Здравствуйте!

 

Выполните Порядок оформления запроса о помощи

FRST.txt

how_to_decrypt.rar УЧАСТКИ 2021.xls[honestandhope@qq.com].rar

архивы с файлами   заархивированы с паролем virus

И еще один файл   additional   прилагаю  

Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Чистить так:

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-2357525305-1066772759-53686490-501\...\Run: [MinerGateGui] => C:\Users\Гость\Downloads\1minergate\minergate.exe --auto
    HKU\S-1-5-21-2357525305-1066772759-53686490-501\...\Run: [71C36FFC-6A1EA101] => "C:\users\8ced~1\appdata\local\temp\svcurl.exe" -id "71C36FFC-6A1EA101" -wid "888" <==== ВНИМАНИЕ
    HKU\S-1-5-21-2357525305-1066772759-53686490-501\...\Run: [71C36FFC-6A1EA101hta] => c:\users\8ced~1\appdata\local\temp\how_to_decrypt.hta <==== ВНИМАНИЕ
    2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\how_to_decrypt.hta
    2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\Downloads\how_to_decrypt.hta
    2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\Documents\how_to_decrypt.hta
    2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\Desktop\how_to_decrypt.hta
    2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\Roaming\how_to_decrypt.hta
    2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\LocalLow\how_to_decrypt.hta
    2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\Local\how_to_decrypt.hta
    2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\how_to_decrypt.hta
    2021-06-13 19:10 - 2021-06-13 19:10 - 000006031 _____ C:\Users\Public\how_to_decrypt.hta
    2021-06-13 19:10 - 2021-06-13 19:10 - 000006031 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2021-06-13 19:09 - 2021-06-13 19:09 - 000006031 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2021-06-13 19:09 - 2021-06-13 19:09 - 000006031 _____ C:\ProgramData\how_to_decrypt.hta
    FirewallRules: [{C4E010C1-C620-4832-BB28-64DC8778CD85}] => (Allow) LPort=3389
    FirewallRules: [{92887B23-B7E0-4A96-B570-896AE079521F}] => (Allow) LPort=80
    FirewallRules: [{D4B33ADD-5794-4B55-9A64-EA72059AEB4D}] => (Allow) LPort=3389
    FirewallRules: [{CA733FC7-B1CB-4345-A92F-3A98398DE7F0}] => (Allow) LPort=443
    FirewallRules: [{6182A95D-0875-4995-9722-6DD9A2F449D6}] => (Allow) LPort=80
    FirewallRules: [{9968BCC5-9BB2-42E0-9B7F-8138564FE9B0}] => (Allow) LPort=443
    FirewallRules: [{17F16E26-BD8D-4FD7-BDFA-BA4AE71E9387}] => (Allow) LPort=80
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Пароли на RDP смените.

 

15 минут назад, АлексейОстроумов сказал:

другие компью.теры в сети то же нужно чистить ?

Если там зашифровались расшаренные папки, то не нужно. Просто смените пароль доступа в эти папки. Но если все же хотите проверить, действуйте по принципу один компьютер - одна тема.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Нет, никуда вставлять не нужно. Он будет выполнен из буфера обмена.

я сделал все что нужно по вашим рекомендациям   прилагаю файл 

Fixlog.txt

те систему ОС WIndows 10    можно оставить как  есть   или все таки переставлять ?? 

Ссылка на сообщение
Поделиться на другие сайты

Поскольку шифровальщик скорее всего был запущен вручную, по окончании своей "работы" он вручную же был удалён. Мы по сути очистили некоторые его следы.

Поэтому - да, можно оставить, только следует принять меры:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

Прилагаю результат   работы этой утилиты 

и еще я в папке Гость _Загрузки    нашел  такие вот файлы   

их лучше удалить наверное ?? SecurityCheck.txt  

запаковал файлы    но приложить не могу добавить в тему сейчас 

при попытке получаю ошибку - 200

Ссылка на сообщение
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------
OpenOffice 4.1.9 v.4.19.9805 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex (All Users) v.21.5.2.644 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

Читайте Рекомендации после удаления вредоносного ПО

 

2 минуты назад, АлексейОстроумов сказал:

в папке Гость _Загрузки

Это не системная папка. Если файлы вам неизвестны и подозрительны, удаляйте смело.

Ссылка на сообщение
Поделиться на другие сайты

Я так понимаю, это отчёт с другой системы, верно?

Утилита показывает только уязвимые места и требуемые обновления программы. Наличие/отсутствие вредоносных файлов и/или их хвостов можно определить по логам из правил.

Но, как я говорил, один компьютер - одна тема. Иначе мы с вами запутаемся.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Алексей К.
      Зашифрованы все типы файлов на всех дисках
      [LoganParker@techmail.info].[DBEA63DB-1417EFF5] - добавляется к файлу
      файлы: примеры зашифрованных файлов
      сообщение: сообщение, оставленное вымогателями. В формате .hta
      сообщение.rarфайлы.rar
    • От a.volodko
      Помогите с расшифровкой файлов
      !.rar CollectionLog-2021.07.12-15.44.zip
    • От Ense
      Здравствуйте, вот такая проблема и все файлы так зашифрованый, буду очень благодарен! После формата еще есть вот это [LoganParker@techmail.info].[F3FCECB1-4EEB888E]
      Декларация БЗ.pdf
    • От AndreyVL
      Похоже, взломали сервер. Зашифрованы все типы файлов на всех дисках, кроме диска С:
      [LoganParker@techmail.info].[F636C8C6-787D57A9] - добавляется к файлу
      На сервер не зайти. Но с помощью LiveCD можно просмотреть все содержимое.
      файлы: примеры зашифрованных файлов
      сообщение: сообщение, оставленное вымогателями. В формате .hta
      сообщение.zip файлы.zip
       
      Сообщение от модератора kmscom Тема  перемещена из раздела Общие правила раздела «Помощь в борьбе с шифровальщиками-вымогателями»  
    • От Chel
      Всем доброго времени суток.
      Поймали вирус шифровальщик.
      Теперь все данные на ПК зашифрованы.
      Нужно определить вирус-шифровальщик.
      Очень нужна помощь в расшифровке файлов.
       
      Addition.txt FRST.txt Файлы.rar
×
×
  • Создать...