Здравствуйте. Вирус-шифровальщик к рабочему компьютеру как я понял проник по открытому RDP, RDP я закрыл, и на роутере проброшенный порт удалил. Помогите пожалуйста расшифровать файлы. Логи сделал по инструкции, единственное что компьютер не перезагружался во время сбора логов и шифровальщик, с отключенным Avast, пытался зашифровать архив с логами, может в этом дело, если с архивом что-то не так, напишите пожалуйста, постараюсь сделать правильно. Файлы переименовались, например вот так: 1Cv7.CFG[[email protected]].[8736BF7A-9A29BD77]. Спасибо
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) JustShikari, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\users\robot\appdata\local\temp\svccfd.exe');
QuarantineFile('c:\users\robot\appdata\local\temp\svccfd.exe','');
DeleteFile('c:\users\robot\appdata\local\temp\svccfd.exe','32');
DeleteFile('C:\Users\Server\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\how_to_decrypt.hta','64');
RegKeyParamDel('HKEY_USERS','S-1-5-21-2876017089-2724010188-1064524605-1012\Software\Microsoft\Windows\CurrentVersion\Run','8736BF7A-9A29BD77','x32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-2876017089-2724010188-1064524605-1012\Software\Microsoft\Windows\CurrentVersion\Run','8736BF7A-9A29BD77hta','x32');
DeleteFile('C:\Users\Robot\AppData\Local\Temp\how_to_decrypt.hta','32');
DeleteFile('C:\Users\Robot\AppData\Local\Temp\svccfd.exe','32');
DeleteFile('C:\Users\Robot\AppData\Local\Temp\how_to_decrypt.hta','64');
DeleteFile('C:\Users\Robot\AppData\Local\Temp\svccfd.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Последний раз редактировалось thyrex; 06.04.2020 в 10:08.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Скачайте Farbar Recovery Scan Tool [img=https://i.imgur.com/NAAC5Ba.png] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/*]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
[img=https://i.imgur.com/3munStB.png]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Обратите внимание: будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Добрый день. Сделал, логи прикрепил. По пользователям, это да, тестово было сделано и забыли убрать, а взломали как я понял именно со старой учетки, от которой я даже пароль не знал, а он оказался простой. Скажите, а вообще реально что-либо расшифровать? Просто решили со злоумышленником не связываться и все восстанавливать с 0.
Спасибо за помощь. Скажите только, если я буду сейчас шифрованные файлы скидывать на жесткий диск с верой в то, что когда-нибудь появится дешифратор, для последующего сноса системы и установки с 0, не перекину ли я с файлами сам шифратор или какие-либо вредоносные файлы?
Вроде бы все верно, расшифровалось. Мы уже переустановили базы 1с, частично восстановили информацию, частично нет. Скажите существует ли какой-то дешифратор на данный момент? Базы по 10 гигов примерно и их несколько, так же есть мелкие файлы личного характера которые бы тоже хотелось расшифровать (фото, документы) Спасибо
Ответить с цитированием
Сообщение от JustShikari
