Поймали шифровальщик

Printable View

13.09.2021, 17:57
VLDolph

Вложений: 1

Поймали шифровальщик

Здравствуйте, поймали шифровальщик, антивирусником пока не лечил, логи прикрепил, готовы заплатить если возможна дешифровка
13.09.2021, 17:58
Info_bot

Уважаемый(ая) [B]VLDolph[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
14.09.2021, 12:30
Sandor

Здравствуйте!

Один из файлов Info.hta вместе с 2-3 зашифрованными документами упакуйте в архив с паролем и прикрепите к следующему сообщению.
14.09.2021, 14:09
VLDolph

Вложений: 1

пароль qwerty55
14.09.2021, 14:18
Sandor

Увы, это Dharma (или Crysis по терминологии ЛК). Расшифровки нет.
Помощь в очистке системы нужна или планируете переустановку?
14.09.2021, 14:31
VLDolph

[QUOTE=Sandor;1521904]Увы, это Dharma (или Crysis по терминологии ЛК). Расшифровки нет.
Помощь в очистке системы нужна или планируете переустановку?[/QUOTE]
нужна

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

еще хочу спросить в интернете видел предложения по восстановлению баз 1С без дешифровки, после данного шифровальщика это возможно?
14.09.2021, 14:37
Sandor

В системе установлен Acronis, резервных копий не сохранилось?

[URL="http://virusinfo.info/showthread.php?t=130828"][b]Временно[/b] отключите защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:

[CODE]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\A50ZFS_payload.exe', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\A50ZFS_payload.exe', '');
QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '');
QuarantineFile('C:\Windows\System32\A50ZFS_payload.exe', '');
QuarantineFile('C:\Windows\System32\Info.hta', '');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\A50ZFS_payload.exe', '64');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-EAC7E80E.[[email protected]].harma', '64');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\A50ZFS_payload.exe', '');
DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '64');
DeleteFile('C:\Windows\System32\A50ZFS_payload.exe', '64');
DeleteFile('C:\Windows\System32\Info.hta', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'A50ZFS_payload.exe', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]

Компьютер [U]перезагрузится[/U].

Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL]. ([COLOR="RoyalBlue"]CollectionLog[/COLOR])

[quote="VLDolph;1521906"]в интернете видел предложения по восстановлению баз 1С[/quote]
Тут надо быть очень осторожным, как правило это посредники, связанные со злоумышленниками и накручивающие свою цену.
14.09.2021, 15:25
VLDolph

[QUOTE=Sandor;1521907]В системе установлен Acronis, резервных копий не сохранилось?[/QUOTE]
была создана зона безопасности акронис на отдельном диске, но я не могу ее открыть на другом компьютере, р студио тоже ничего не видит
14.09.2021, 15:50
Sandor

Понятно. Выполняйте скрипт.
14.09.2021, 16:22
VLDolph

ошибка в скрипте (слишком много параметров) без этих строчек выполнился, каратнтин прикрепил
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'A50ZFS_payload.exe', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
14.09.2021, 16:24
Sandor

[quote="VLDolph;1521911"]ошибка в скрипте (слишком много параметров)[/quote]
AVZ запускали эту версию?
[QUOTE]C:\AutoLogger\AutoLogger\AV\av_z.exe[/QUOTE]
Или скачивали самостоятельно?
14.09.2021, 16:34
VLDolph

сам качал, запустил из папки автологера скрипт отработал, снова карантин отправить?
14.09.2021, 16:41
Sandor

Нет, не нужно.

[quote="Sandor;1521907"]Сделайте повторные логи по правилам. (CollectionLog)[/quote]
14.09.2021, 16:42
VLDolph

Вложений: 1

новый лог
14.09.2021, 16:58
Sandor

Дополнительно:
Скачайте [URL="https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B] ([B]Scan[/B]).
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Личные сообщения проверьте.
14.09.2021, 17:59
VLDolph

Вложений: 2

сделал
15.09.2021, 09:05
Sandor

Из семи учётных записей системы пять обладают правами администратора. Пересмотрите и смените пароли.

Проверьте уязвимые места и устаревшее критическое ПО:
[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]
15.09.2021, 10:34
VLDolph

Вложений: 1

сделал
15.09.2021, 10:54
Sandor

------------------------------- [ Windows ] -------------------------------
[color=red][b]Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз[/b][/color]
[color=red][b]Контроль учётных записей пользователя [b]отключен[/b] (Уровень 1)[/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.61 (32-разрядная) v.5.61.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color]
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.1.3 v.2.1.3 [color=red][b]Внимание! [url=https://openvpn.net/community-downloads/]Скачать обновления[/url][/b][/color]
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 ActiveX v.32.0.0.414 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее.