Взломали по 3389 порту. Зашифровали все файлы пользователей и даже архивы баз. Прилагаю три файла. Инфо файл от вымогателей. 1 и 2 зараженные файлы. Каспер и Др веб отказались в связи с невозможностью расшифровки.
Списался с вымогателями, расшифровали выборочно два файла, но просят 2500 евро( вот расшифрованный https://cloud.mail.ru/public/KeU6/ySfuCi2ub и зашифрованный https://cloud.mail.ru/public/6Q9K/jaFEn9a3y для примера.
Последний раз редактировалось Dimension; 18.10.2018 в 14:38.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Dimension, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
Если это RotorCrypt, расшифровки нет.
Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
- Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сообщение от SQ
- Скачайте Farbar Recovery Scan Tool
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
https://cloud.mail.ru/public/GRox/rKYeRMtzw
В логах ничего вирусного не замечено.
Если хотите зачистить мусор, то выполните следующее:
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: HKLM\...\Command Processor: <==== ATTENTION FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found File: C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe File: C:\Program Files\TeamViewer\TeamViewer_Service.exe 2018-10-10 09:47 - 2018-10-10 09:47 - 000000176 _____ C:\Documents and Settings\Тамара\Local Settings\Application Data\INFO.txt 2018-10-10 09:18 - 2018-10-10 09:18 - 000000176 _____ C:\Documents and Settings\Склад\Рабочий стол\INFO.txt 2018-10-10 09:06 - 2018-10-10 09:06 - 000000176 _____ C:\Documents and Settings\Склад\Local Settings\Application Data\INFO.txt 2018-10-10 08:42 - 2018-10-10 08:42 - 000000176 _____ C:\Documents and Settings\Новосиб\Local Settings\Application Data\INFO.txt 2018-10-10 08:40 - 2018-10-10 08:40 - 000000176 _____ C:\Documents and Settings\Наталья\Local Settings\Application Data\INFO.txt 2018-10-10 08:38 - 2018-10-10 08:38 - 000000176 _____ C:\Documents and Settings\Исупов\Local Settings\Application Data\INFO.txt 2018-10-10 08:31 - 2018-10-10 08:31 - 000000176 _____ C:\Documents and Settings\Индира\Local Settings\Application Data\INFO.txt 2018-10-10 08:30 - 2018-10-10 08:30 - 000000176 _____ C:\Documents and Settings\Игорь\Local Settings\Application Data\INFO.txt 2018-10-10 08:28 - 2018-10-10 08:28 - 000000176 _____ C:\Documents and Settings\ЕленаАналитик\Local Settings\Application Data\INFO.txt 2018-10-10 08:28 - 2018-10-10 08:28 - 000000176 _____ C:\Documents and Settings\Директор\Local Settings\Application Data\INFO.txt 2018-10-10 08:27 - 2018-10-10 08:27 - 000000176 _____ C:\Documents and Settings\Елена\Local Settings\Application Data\INFO.txt 2018-10-10 08:25 - 2018-10-10 08:25 - 000000176 _____ C:\Documents and Settings\ГлБухгалтер\Мои документы\INFO.txt 2018-10-10 08:23 - 2018-10-10 08:23 - 000000176 _____ C:\Documents and Settings\ГлБухгалтер\Local Settings\Application Data\INFO.txt 2018-10-10 08:01 - 2018-10-10 08:01 - 000000176 _____ C:\Documents and Settings\Бухгалтер\Мои документы\INFO.txt 2018-10-10 07:59 - 2018-10-10 07:59 - 000000176 _____ C:\Documents and Settings\Бухгалтер\Local Settings\Application Data\INFO.txt 2018-10-10 05:50 - 2018-10-10 05:50 - 000000176 _____ C:\Documents and Settings\Администратор\Мои документы\INFO.txt 2018-10-10 05:44 - 2018-10-10 05:44 - 000000176 _____ C:\Documents and Settings\Администратор\Local Settings\Application Data\INFO.txt 2018-10-10 05:40 - 2018-10-10 05:40 - 000000176 _____ C:\Documents and Settings\LocalService\Local Settings\Application Data\INFO.txt 2018-10-10 05:38 - 2018-10-10 05:38 - 000000176 _____ C:\Documents and Settings\Dimarik\Local Settings\Application Data\INFO.txt 2018-10-10 05:37 - 2018-10-10 05:37 - 000000176 _____ C:\Documents and Settings\Екатерина\Local Settings\Application Data\INFO.txt 2018-10-10 04:19 - 2018-10-10 04:19 - 000000176 _____ C:\INFO.txt File: C:\Documents and Settings\Екатерина\Рабочий стол\win_pro.exe CustomCLSID: HKU\S-1-5-21-462578356-3534763070-559141218-500_Classes\CLSID\{00b02060-f1f7-492d-a778-d4d2713fabd8}\InprocServer32 -> C:\Documents and Settings\Администратор\Local Settings\Temp\2\v8_1_46.tmp => No File CustomCLSID: HKU\S-1-5-21-462578356-3534763070-559141218-500_Classes\CLSID\{2967905f-ecf3-409f-8019-25b5fccfe72b}\InprocServer32 -> C:\Documents and Settings\Администратор\Local Settings\Temp\2\v8_1_46.tmp => No File CustomCLSID: HKU\S-1-5-21-462578356-3534763070-559141218-500_Classes\CLSID\{299d01f2-df53-4711-8286-1d450e29df33}\InprocServer32 -> C:\Documents and Settings\Администратор\Local Settings\Temp\2\v8_1_46.tmp => No File CustomCLSID: HKU\S-1-5-21-462578356-3534763070-559141218-500_Classes\CLSID\{cbb584c0-d082-4ea4-930f-1a395092c8fa}\InprocServer32 -> C:\Documents and Settings\Администратор\Local Settings\Temp\2\v8_1_46.tmp => No File CustomCLSID: HKU\S-1-5-21-462578356-3534763070-559141218-500_Classes\CLSID\{ce3cc09b-5e51-47fe-88e6-ca2068d12657}\InprocServer32 -> C:\Documents and Settings\Администратор\Local Settings\Temp\2\v8_1_46.tmp => No File- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что сервер возможно будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
https://cloud.mail.ru/public/MTVM/GJNEjAj35
- - - - -Добавлено - - - - -
Файлы зашифрованные все потеряны?
Если пологаться на расширение !@#$%^&-()_+.1C то это вид шифровальщика RotorCrypt. К сожалению на текущий момент у нас нет решения по расшифровки.
P.S. Возможно будеть в ближайщем будущем, но опять же никто не может гарантировать.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Ваши права в разделе
Ответить с цитированием
