Шифровальщик OMERTA

Printable View

30.11.2018, 14:37
ukiquki

Вложений: 2

Шифровальщик OMERTA

Здравствуйте!
Помогите, пожалуйста, в попытках устранения последствий инфицирования шифровальщиком.
Взлом ПК произошел, скорее всего, по RDP. Шифрование произвели рано утром. Зашифрованы все пользовательские файлы включая фалы базы данных Firebird и резервные копии Acronis. Запрос в DrWeb отправил - жду ответа. Можно ли идентифицировать шифровальщик, чтобы хотя бы в какой-то отдаленной перспективе расшифровать файлы? Прилагаю результат сканирования AutoLogger и текст сообщения вымогателей. Образец зашифрованного файла с незашифрованным оригиналом прикрепить не удалось из-за превышения объема, но может смогу подобрать другую пару (поменьше). Буду благодарен за любую помощь!
30.11.2018, 14:38
Info_bot

Уважаемый(ая) [B]ukiquki[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
01.12.2018, 09:04
SQ

Здравствуйте,

К сожалению с расшифровкой не поможем, но согласно отзывам пользователей, Лаборатория Касперского в индивидульнном порядке может помочь с расшифровкой при наличие лицензии на их продукты. Но опять же каждый случай уникальный 100% гарантий никто не сможет дать.

HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O4 - HKCU\..\Run: [oldmTnYGHOvFxEb] = C:\Windows\system32\notepad.exe "C:\Users\Admin\Как расшифровать файлы и работать дальше.TXT"
O7 - TroubleShooting: (EV) HKU\S-1-5-21-3673025368-348824977-2380796160-1001\..\Environment: [TEMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-3673025368-348824977-2380796160-1001\..\Environment: [TMP] = (not exist)[/CODE]

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]