Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

[РАСШИФРОВАНО] Поймали шифровальшик на сервер

s.evgeny.a
 Поделиться

Рекомендуемые сообщения

s.evgeny.a Новичок

s.evgeny.a

Опубликовано
Опубликовано (изменено)

Добрый день! Помогите пожалуйста. На сервере поймали шифровальщик. Файлы прикрепляю

Файлы.rar

Изменено пользователем s.evgeny.a
Ссылка на комментарий
Поделиться на другие сайты
  • s.evgeny.a изменил название на Поймали шифровальшик на сервер
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Попробуйте найти пару: зашифрованный и его не зашифрованный оригинал. Ищите такой на других ПК, в почте, в резервной копии и т.п.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
Startup: C:\Users\Support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2021-09-03] () [Файл не подписан]
2021-09-03 17:06 - 2021-09-03 17:06 - 000001023 _____ C:\Windows\Tasks\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\Downloads\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\Documents\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\Desktop\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Support\AppData\Local\Temp\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Public\HOW TO DECRYPT FILES.txt
2021-09-03 17:04 - 2021-09-03 17:04 - 000001023 _____ C:\Users\Public\Downloads\HOW TO DECRYPT FILES.txt
FirewallRules: [{90631734-F92E-4415-A10A-61DFEE61A05B}] => (Allow) LPort=3389
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

С расшифровкой поможет этот декриптор.

В ЛС кое-что добавлю.

Ссылка на комментарий
Поделиться на другие сайты
s.evgeny.a Новичок

s.evgeny.a

Опубликовано
  • Автор
Опубликовано (изменено)

Запустил, идет процесс...

 

Расшифровал, теперь в папках несколько одинаковых файлов один файл закодированный, второй раскодированный и файл HOW TO DECRYPT FILES. Это вручную удалять?

Базу данных с расширением mdb еще не могу открыть, требует ввод пароля

Изменено пользователем s.evgeny.a
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
20 минут назад, s.evgeny.a сказал:

Это вручную удалять?

Да, убедитесь, что всё расшифровано и можете удалять.

 

24 минуты назад, s.evgeny.a сказал:

Базу данных с расширением mdb еще не могу открыть, требует ввод пароля

А был пароль на неё?

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты
  • Sandor изменил название на Поймали шифровальшик на сервер [РАСШИФРОВАНО]
s.evgeny.a Новичок

s.evgeny.a

Опубликовано
  • Автор
Опубликовано
1 минуту назад, Sandor сказал:

А был пароль на неё?

Пароли были на каждого пользователя для входа.
А сейчас без выбора пользователя требует пароль именно базы данных

Ссылка на комментарий
Поделиться на другие сайты
  • thyrex изменил название на [РАСШИФРОВАНО] Поймали шифровальшик на сервер
s.evgeny.a Новичок

s.evgeny.a

Опубликовано
  • Автор
Опубликовано
17 часов назад, Sandor сказал:

 

Размер базы 22 Мбайт. Могу ссылкой на файлообменник скинуть

https://disk.yandex.ru/d/rfu7iZEDuTsugg

 

так же могу скинуть такую же базу которая не повреждена.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
7 часов назад, s.evgeny.a сказал:

так же могу скинуть такую же базу которая не повреждена.

Не нужно. Проверю базу после возвращения с работы. Эта база единственная проблемная?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • evg-gaz
      зашифровали сервер
      Автор evg-gaz
      Зашифровали все файлы на сервереAddition.txtvirus.rarFRST.txt
    • BORIS59
      [РАСШИФРОВАНО] Поймал шифровальщика вымогателя.
      Автор BORIS59
      Доброго времечка поймал шифровальщик, система не переустанавливалась.
      Зашифровали файлы (WANNACASH NCOV v170720), требуют выкуп!
      Попался на поиске ключей ESET, в 2020г. Обращался в ESET про пудрили
      мозг и смылись. Приложил скрин kvrt сделан сразу после шифровки.
      Подскажите, пожалуйста, возможно восстановить?

      Farbar Recovery Scan Tool.zip Файлы с требованиями злоумышленников.zip Зашифрованные файлы.zip
    • Albina
      На сервер попал шифровальщик ((
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • Константин174
      Поймали вирус
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • sergei5
      шифровальшик зашировал все данные
      Автор sergei5
      Добрый день Вирус зашифровал все данные файл с расширением  62IKGXJL  помогите восстановить. Буду вам признателен.
×
×
  • Создать...