Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Это посредники, они покупают декриптор и перепродают вам со своим наваром. Если пойдет, что-то не так могут угрожать.Отправил им зашифрованный файл - прислали раскриптованый.
Расшифровка есть только у преступников. Можем предложить только зачистку системы от мусора/вредоносного ПО (если есть).Поймана зараза harma
Это говорит о том что декриптор есть!!!Это посредники, они покупают декриптор и перепродают вам со своим наваром. Если пойдет, что-то не так могут угрожать.
Расшифровка есть только у преступников.
Start::
CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2019-08-08] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13919 2019-08-08] () [File not signed]
HKU\S-1-5-21-3471316023-2935371020-3614911234-1030\...\Run: [C:\Users\BTC\AppData\Roaming\Info.hta] => C:\Users\BTC\AppData\Roaming\Info.hta [13919 2019-08-08] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-08] () [File not signed]
Startup: C:\Users\BTC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-08] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-08] () [File not signed]
2019-08-08 16:59 - 2019-08-08 16:59 - 000013919 _____ C:\Users\BTC\AppData\Roaming\Info.hta
2019-08-08 16:59 - 2019-08-08 16:59 - 000000170 _____ C:\Users\BTC\Desktop\FILES ENCRYPTED.txt
2019-08-08 16:54 - 2019-08-08 16:54 - 000013919 _____ C:\Windows\system32\Info.hta
2019-08-08 16:54 - 2019-08-08 16:54 - 000013919 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\FILES ENCRYPTED.txt
2019-08-08 16:59 - 2019-08-08 16:59 - 000013919 _____ () C:\Users\BTC\AppData\Roaming\Info.hta
FirewallRules: [{9613165A-8173-4ACD-9533-4603A7D85350}] => (Allow) C:\Program Files (x86)\Ralink\Common\RaUI.exe No File
FirewallRules: [{7D2FE9B5-C4D1-4422-A390-3ED3715B15CE}] => (Allow) C:\Program Files (x86)\Ralink\Common\RaUI.exe No File
FirewallRules: [{0234FDB7-BE15-4473-9B0B-F8F52826CE53}] => (Allow) C:\Program Files\Common Files\Acronis\ActiveProtection\active_protection_service.exe No File
FirewallRules: [{C8FB13D4-8E63-49AF-92C3-766ABCD1EB67}] => (Allow) C:\Program Files (x86)\Acronis\MonitoringServer\acronis_monitoring_service.exe No File
FirewallRules: [{3ABEAE9E-3060-49AC-B92C-2D10C29A9E80}] => (Allow) C:\Program Files (x86)\Acronis\ZmqGw\zmqgw.exe No File
FirewallRules: [{20E303D1-161D-4B50-8581-306468BFC882}] => (Allow) C:\Program Files (x86)\Acronis\ApiGateway\api_gateway.exe No File
FirewallRules: [{26A91BF1-AFAF-44D8-B1DF-7C9CC3F81ED7}] => (Allow) C:\Program Files (x86)\Common Files\Acronis\Infrastructure\mms_mini.exe No File
FirewallRules: [{E3ACF826-DE91-4380-BD65-7CBA8842413D}] => (Allow) C:\Program Files (x86)\Common Files\Acronis\MobileBackupServer\mobile_backup_server.exe No File
FirewallRules: [{6C49E3CB-6D65-4252-8226-D370B0DE2E0F}] => (Allow) C:\Program Files (x86)\Acronis\TrueImageHome\mobile_backup_status_server.exe No File
FirewallRules: [{DFB890D8-0B5B-4670-9963-D33488974783}] => (Allow) C:\Program Files (x86)\Opera\62.0.3331.72\opera.exe No File
FirewallRules: [{833FA642-F4DD-4271-85C9-33A9F7952B1B}] => (Allow) C:\Program Files (x86)\Opera\62.0.3331.99\opera.exe No File
End::
Куда нужно вставить скопированый код?Смените пароли на RDP и рассмотрите возможность обновить ОС. Образы акрониса есть с бекапами?
Удалите SpyHunter5
Process Hacker 2 - сами устанавливали? Если нет, то удалите его.
Компьютер перезагрузите вручную.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CreateRestorePoint: HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2019-08-08] () [File not signed] HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13919 2019-08-08] () [File not signed] HKU\S-1-5-21-3471316023-2935371020-3614911234-1030\...\Run: [C:\Users\BTC\AppData\Roaming\Info.hta] => C:\Users\BTC\AppData\Roaming\Info.hta [13919 2019-08-08] () [File not signed] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-08] () [File not signed] Startup: C:\Users\BTC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-08] () [File not signed] Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-08] () [File not signed] 2019-08-08 16:59 - 2019-08-08 16:59 - 000013919 _____ C:\Users\BTC\AppData\Roaming\Info.hta 2019-08-08 16:59 - 2019-08-08 16:59 - 000000170 _____ C:\Users\BTC\Desktop\FILES ENCRYPTED.txt 2019-08-08 16:54 - 2019-08-08 16:54 - 000013919 _____ C:\Windows\system32\Info.hta 2019-08-08 16:54 - 2019-08-08 16:54 - 000013919 _____ C:\Users\Администратор\AppData\Roaming\Info.hta 2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt 2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt 2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt 2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\FILES ENCRYPTED.txt 2019-08-08 16:59 - 2019-08-08 16:59 - 000013919 _____ () C:\Users\BTC\AppData\Roaming\Info.hta FirewallRules: [{9613165A-8173-4ACD-9533-4603A7D85350}] => (Allow) C:\Program Files (x86)\Ralink\Common\RaUI.exe No File FirewallRules: [{7D2FE9B5-C4D1-4422-A390-3ED3715B15CE}] => (Allow) C:\Program Files (x86)\Ralink\Common\RaUI.exe No File FirewallRules: [{0234FDB7-BE15-4473-9B0B-F8F52826CE53}] => (Allow) C:\Program Files\Common Files\Acronis\ActiveProtection\active_protection_service.exe No File FirewallRules: [{C8FB13D4-8E63-49AF-92C3-766ABCD1EB67}] => (Allow) C:\Program Files (x86)\Acronis\MonitoringServer\acronis_monitoring_service.exe No File FirewallRules: [{3ABEAE9E-3060-49AC-B92C-2D10C29A9E80}] => (Allow) C:\Program Files (x86)\Acronis\ZmqGw\zmqgw.exe No File FirewallRules: [{20E303D1-161D-4B50-8581-306468BFC882}] => (Allow) C:\Program Files (x86)\Acronis\ApiGateway\api_gateway.exe No File FirewallRules: [{26A91BF1-AFAF-44D8-B1DF-7C9CC3F81ED7}] => (Allow) C:\Program Files (x86)\Common Files\Acronis\Infrastructure\mms_mini.exe No File FirewallRules: [{E3ACF826-DE91-4380-BD65-7CBA8842413D}] => (Allow) C:\Program Files (x86)\Common Files\Acronis\MobileBackupServer\mobile_backup_server.exe No File FirewallRules: [{6C49E3CB-6D65-4252-8226-D370B0DE2E0F}] => (Allow) C:\Program Files (x86)\Acronis\TrueImageHome\mobile_backup_status_server.exe No File FirewallRules: [{DFB890D8-0B5B-4670-9963-D33488974783}] => (Allow) C:\Program Files (x86)\Opera\62.0.3331.72\opera.exe No File FirewallRules: [{833FA642-F4DD-4271-85C9-33A9F7952B1B}] => (Allow) C:\Program Files (x86)\Opera\62.0.3331.99\opera.exe No File End::
- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Смените пароли на RDP и рассмотрите возможность обновить ОС. Образы акрониса есть с бекапами?
+ Удалите SpyHunter5
+ Process Hacker 2 - сами устанавливали? Если нет, то удалите его.
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?