Схватил шифровальщик [[email protected]].termit

Зашифровались 2 компьютера на каждом файлы с припиской как в теме, в каждой папке находится файл ReadMe_Decryptor с текстом
"For decryption write here - [EMAIL="[email protected]"][email protected][/EMAIL] (Write only in English)If you do not receive an answer write here - [EMAIL="[email protected]"][email protected][/EMAIL]


Jabber contact for online communication (not always available, but I will answer as I see) - [EMAIL="[email protected]"][email protected][/EMAIL] (xmpp.jp - registration, web client - [URL]https://web.xabber.com[/URL] )


Don't modify the files - you will ruin them. Test decryption < 500 kb (not databases and important files, only for demonstration of decryption)"

помогите пожалуйста вот все логи [ATTACH=CONFIG]683375[/ATTACH]

Уважаемый(ая) [B]VODKA5665[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

2-3 небольших зашифрованных документа вместе с самой запиской ReadMe_Decryptor упакуйте в архив и прикрепите к следующему сообщению.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Пока только для определения типа вымогателя.

вот файлы

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

можно каким нибудь образом востановить хотя бы определенные файлы? нужно хотя бы базы 1С, может через HEX редактор или еще как?

Тип вымогателя Dcrtr. Некоторые его версии были успешно расшифрованы Dr.Web. Попробуйте к [url=https://legal.drweb.ru/encoder/?lng=ru]ним обратиться[/url].
Если надумаете, результат сообщите здесь, пожалуйста.

Пароли на RDP смените уже сейчас. AmmyAdmin - ваше? Также смените пароли.

подскажите, на сколько мне сейчас опасно работать на моем компьютере?

Активного заражения не видно. Кое-что почистим:
[URL="http://virusinfo.info/showthread.php?t=130828"][b]Временно[/b] отключите защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:

[CODE]begin
DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
[/CODE]

Компьютер [U]перезагрузится[/U].


Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

файлы из приложения

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

я обратился к специалистам из dr.web вот что ответили "Здравствуйте!

Файлы зашифрованы Trojan.Encoder.24474
Расшифровка нашими силами невозможна.

Единственный способ восстановления данных - из резервных копий, если они имеются.

Во избежание повторных заражений используйте актуальную версию Dr.Web [url]https://download.drweb.com[/url]
Поведенческий анализатор Dr.Web Process Heuristic эффективно защищает от новейших неизвестных угроз. Благодаря схожести поведения многих вредоносных программ Dr.Web Process Heuristic выявляет те из них, которые еще неизвестны Dr.Web, — в частности, новые модификации Trojan.Encoder и Trojan.Inject и блокирует их до того, как данные на ПК повреждены.

Один из способов распространения этого энкодера - несанкционированный вход, через подбор/похищение пароля одной из учетных записей, по RDP (или через терминальную сессию), поэтому поменяйте все пароли (задайте сложный пароль не менее 8-ми символов, содержащий буквы разного регистра, цифры и спец. символы), заблокируйте неиспользуемые учетные записи и установите ограничение на удаленное подключение, оставив возможность подключения только с определенных адресов, убедитесь, что установлены все обновления операционной системы."

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

я повторю вопрос, есть ли какая то возможность восстановить определенные файлы? хоть какая то?

[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2413091500-2488688687-3866853633-1001\...\MountPoints2: {c5e3f934-f63d-11e9-9f2e-54a0507d19a9} - "E:\autorun.exe"
GroupPolicy: Restriction ? <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {FAD3510B-AB8F-4CF2-8920-EF43E01FB951} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe
Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe
CHR StartupUrls: Profile 1 -> "hxxp://www.google.com","hxxp://yandex.ru/?clid=123448","hxxp://mail.ru/cnt/10445?gp=801401","hxxp://mail.ru/cnt/10445?gp=820321","hxxp://mail.ru/cnt/10445?gp=812204","hxxps://www.google.com/"
S1 jzggaipt; \??\C:\Windows\system32\drivers\jzggaipt.sys [X]
2020-10-26 01:16 - 2020-10-26 01:16 - 000003037 _____ C:\Users\VLAD\AppData\Roaming\Decryptor_Info.hta
2020-10-26 01:14 - 2020-10-26 01:14 - 000000464 _____ C:\Users\Все пользователи\ReadMe_Decryptor.txt
2020-10-26 01:14 - 2020-10-26 01:14 - 000000464 _____ C:\Users\VLAD\ReadMe_Decryptor.txt
2020-10-26 01:14 - 2020-10-26 01:14 - 000000464 _____ C:\Users\VLAD\Downloads\ReadMe_Decryptor.txt
2020-10-26 01:14 - 2020-10-26 01:14 - 000000464 _____ C:\Users\Default\ReadMe_Decryptor.txt
2020-10-26 01:14 - 2020-10-26 01:14 - 000000464 _____ C:\Users\Default User\ReadMe_Decryptor.txt
2020-10-26 01:14 - 2020-10-26 01:14 - 000000464 _____ C:\ProgramData\ReadMe_Decryptor.txt
2020-10-26 01:11 - 2020-10-26 01:11 - 000000464 _____ C:\Users\VLAD\Documents\ReadMe_Decryptor.txt
2020-10-26 01:11 - 2020-10-26 01:11 - 000000464 _____ C:\Users\VLAD\Desktop\ReadMe_Decryptor.txt
2020-10-26 01:11 - 2020-10-26 01:11 - 000000464 _____ C:\ReadMe_Decryptor.txt
2020-10-26 01:10 - 2020-09-23 21:03 - 000259584 _____ C:\Users\VLAD\AppData\Roaming\mhtop32bit.exe
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
FirewallRules: [{AFDF7A60-5E5E-4ED4-9AFA-FA14F8B8F565}] => (Allow) LPort=6160
Reboot:
End::[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Fix[/B] один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.

фикс логи прикрепил, а что мне делать с другими компьютерами которые так же заразились?

Можем проверить. Только действуйте по принципу один компьютер - одна тема. Во избежание путаницы.

Здесь проверьте уязвимые места:
[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]

следующий файл

--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
[color=red][b]Отключен общий профиль Брандмауэра Windows[/b][/color]
[color=red][b]Отключен частный профиль Брандмауэра Windows[/b][/color]
--------------------------- [ OtherUtilities ] ----------------------------
Яндекс.Диск v.3.1.19.3647 [color=red][b]Внимание! [url=https://disk.yandex.ru/download#pc]Скачать обновления[/url][/b][/color]
Microsoft Office Enterprise 2007 v.12.0.6612.1000 [color=red][b]Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до [url=https://products.office.com/ru-ru/]последней версии[/url] или используйте [url=https://products.office.com/ru-RU/office-online/]Office Online[/url] или [url=https://ru.libreoffice.org/download/]LibreOffice[/url][/b][/color]
Ghostscript GPL 8.64 (Msi Setup) v.8.64 [color=red][b]Внимание! [url=https://ghostscript.com/download/gsdnld.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию, скачайте и установите новую.^[/b][/color]
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color]
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 79.0 (x64 ru) v.79.0 [color=red][b]Внимание! [url=https://www.mozilla.org/ru/firefox/all/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - О Firefox!^[/b][/color]
Yandex v.20.9.2.102 [color=red][b]Внимание! [url=https://download.cdn.yandex.net/browser/yandex/ru/Yandex.exe]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Дополнительно - О браузере Yandex!^[/b][/color]

мне нужно выполнить все пункты?

Если заботитесь о безопасности системы, то да, желательно.