Поймали шифровальщик

[VLDolph]

Здравствуйте, поймали шифровальщик, антивирусником пока не лечил, логи прикрепил, готовы заплатить если возможна дешифровка

[Info_bot]

Уважаемый(ая) VLDolph, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Sandor]

Здравствуйте!

Один из файлов Info.hta вместе с 2-3 зашифрованными документами упакуйте в архив с паролем и прикрепите к следующему сообщению.

[VLDolph]

пароль qwerty55

[Sandor]

Увы, это Dharma (или Crysis по терминологии ЛК). Расшифровки нет.
Помощь в очистке системы нужна или планируете переустановку?

[VLDolph]

Увы, это Dharma (или Crysis по терминологии ЛК). Расшифровки нет.
Помощь в очистке системы нужна или планируете переустановку?

нужна

- - - - -Добавлено - - - - -

еще хочу спросить в интернете видел предложения по восстановлению баз 1С без дешифровки, после данного шифровальщика это возможно?

[Sandor]

В системе установлен Acronis, резервных копий не сохранилось?

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\A50ZFS_payload.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\A50ZFS_payload.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Windows\System32\A50ZFS_payload.exe', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\A50ZFS_payload.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-EAC7E80E.[[email protected]].harma', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\A50ZFS_payload.exe', '');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Windows\System32\A50ZFS_payload.exe', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'A50ZFS_payload.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.



Сделайте повторные логи по правилам. (CollectionLog)

в интернете видел предложения по восстановлению баз 1С

Тут надо быть очень осторожным, как правило это посредники, связанные со злоумышленниками и накручивающие свою цену.

[VLDolph]

В системе установлен Acronis, резервных копий не сохранилось?

была создана зона безопасности акронис на отдельном диске, но я не могу ее открыть на другом компьютере, р студио тоже ничего не видит

[Sandor]

Понятно. Выполняйте скрипт.

[VLDolph]

ошибка в скрипте (слишком много параметров) без этих строчек выполнился, каратнтин прикрепил
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'A50ZFS_payload.exe', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');

[Sandor]

ошибка в скрипте (слишком много параметров)

AVZ запускали эту версию?

C:\AutoLogger\AutoLogger\AV\av_z.exe

Или скачивали самостоятельно?

[VLDolph]

сам качал, запустил из папки автологера скрипт отработал, снова карантин отправить?

[Sandor]

Нет, не нужно.

Сделайте повторные логи по правилам. (CollectionLog)

[VLDolph]

новый лог

[Sandor]

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Личные сообщения проверьте.

[VLDolph]

сделал

[Sandor]

Из семи учётных записей системы пять обладают правами администратора. Пересмотрите и смените пароли.

Проверьте уязвимые места и устаревшее критическое ПО:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[VLDolph]

сделал

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.1.3 v.2.1.3 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 ActiveX v.32.0.0.414 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.