• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Налетел на Trojan.Encoder.3953 [lamaskara@mailfence.com]

Статус
В этой теме нельзя размещать новые ответы.

Geosan

Новый пользователь
Сообщения
5
Реакции
0
Проникли через RDP. Завели нового пользователя. Но установили и запустили из-под старого пользователя.
Нашел две проги, которые были запущены, они, как требуется, запакованы в зип с паролем. Еще я у файлов последнее e в exe заменил на знак подчеркивания.
Лог от программы FRST прикладываю .
в 1.zip файл, который был размещен в каждой папке и содержит в себе информацию по запросу расшифровки.
 

Вложения

  • 1.zip
    1.9 KB · Просмотры: 1
  • Addition.txt
    32.5 KB · Просмотры: 0
  • FRST.txt
    35.8 KB · Просмотры: 1
Последнее редактирование модератором:
Забыл пару зашифрованных файлов
 

Вложения

  • primer.zip
    5.8 KB · Просмотры: 1
Пожалуйста перезагрузите zip архивы, обнаружил мод который ломал вложения после обновления.
 
ок
 

Вложения

  • 1.zip
    1.9 KB · Просмотры: 1
  • primer.zip
    5.8 KB · Просмотры: 2
  • virus.zip
    426.8 KB · Просмотры: 1
  • Addition.txt
    32.5 KB · Просмотры: 1
  • FRST.txt
    35.8 KB · Просмотры: 1
Увы, версия CryLock 2.0.0.0, для нее нет возможности расшифровать файлы

Это рабочая станция? (Running from C:\rec) Сервер через который вошли уже определили? Смените пароли на RDP и проверьте пользователей, нет ли лишних администраторов.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-2916731744-2611840104-4216503845-1000\...\Run: [C23C856F-B6D44893hta] => C:\Users\ENDER\AppData\Local\Temp\how_to_decrypt.hta <==== ATTENTION
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Спасибо, но хозяева компьютера приняли решение всё снести и переустановить операционку. Это был единственный компьютер,который смотрел RDP во внешнюю сеть.
 
Хорошо, только пароли смените и скройте RDP за VPN
 
Тогда удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу