• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Поймали шифровальщика [mr.yoba@aol.com].yoba

fak1r

Новый пользователь
Сообщения
5
Реакции
0
Добрый день!

Прошу помощи в расшифровке файлов.

Сотрудник подцепил заразу. Предположительно в почте.
Файлы сотрудника зашифровало и появилось расширение [mr.yoba@aol.com].yoba.
Так же прошлось по общей папке, там файлы переименованы в email-mr.yoba@aol.com.ver-CS 1.6.id-.fname-Thumbs.db.cs16.
Общую папку уже восстановил из бэкапа, а вот копий компа сотрудника нету(((.

В приложении на всякий случай прикрепил файлы из общей папки, хотя их расшифровка значения не имеет.
 

Вложения

  • Addition.txt
    35.7 KB · Просмотры: 2
  • FRST.txt
    119.8 KB · Просмотры: 3
  • Из общей.zip
    75 KB · Просмотры: 1
  • Сотрудник.zip
    64.2 KB · Просмотры: 1
Для [mr.yoba@aol.com].yoba. расшифровки нет, только чистка мусора
Сотрудник подцепил заразу. Предположительно в почте.
Сомнительно, обычно входят через RDP (слабые пароли или уязвимость). Учтите брутят по стандартным именам администраторов (администратор и его производные)
1.6.id-.fname-Thumbs.db.cs16.
Для этой версии есть расшифровка у касперских.

DameWare Mini Remote Control - ваше?

Политики сами настраивали?
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%Temp <==== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\DefaultSpoolDirectory% <==== ATTENTION
HKLM\...\Policies\Explorer: [NoWelcomeScreen] 1
HKLM\...\Policies\Explorer: [NoWebServices] 1
HKLM\...\Policies\Explorer: [NoOnlinePrintsWizard] 1
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
CHR HKU\S-1-5-21-2198756649-380176202-897630393-1670\SOFTWARE\Policies\Google: Restriction <==== ATTENTION


  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-08-09 18:40 - 2019-08-09 18:40 - 000000438 _____ C:\Users\Public\Downloads\!=How_recovery_files=!.txt
    2019-08-09 18:40 - 2019-08-09 18:40 - 000000438 _____ C:\Users\Public\Documents\!=How_recovery_files=!.txt
    2019-08-09 18:40 - 2019-08-09 18:40 - 000000438 _____ C:\Users\Public\!=How_recovery_files=!.txt
    2019-08-09 18:40 - 2019-08-09 18:40 - 000000438 _____ C:\Users\parts\Downloads\!=How_recovery_files=!.txt
    2019-08-09 18:40 - 2019-08-09 18:40 - 000000438 _____ C:\Users\parts\Documents\!=How_recovery_files=!.txt
    2019-08-09 18:40 - 2019-08-09 18:40 - 000000438 _____ C:\Users\parts\!=How_recovery_files=!.txt
    2019-08-09 18:30 - 2019-08-09 18:30 - 000000438 _____ C:\Users\parts\AppData\Roaming\!=How_recovery_files=!.txt
    2019-08-09 18:30 - 2019-08-09 18:30 - 000000438 _____ C:\Users\parts\AppData\!=How_recovery_files=!.txt
    2019-08-09 18:16 - 2019-08-09 18:16 - 000000438 _____ C:\Users\parts\AppData\LocalLow\!=How_recovery_files=!.txt
    2019-08-09 18:16 - 2019-08-09 18:16 - 000000438 _____ C:\Users\parts\AppData\Local\!=How_recovery_files=!.txt
    2019-08-09 18:09 - 2019-08-09 18:41 - 000000438 _____ C:\Users\Все пользователи\!=How_recovery_files=!.txt
    2019-08-09 18:09 - 2019-08-09 18:41 - 000000438 _____ C:\ProgramData\!=How_recovery_files=!.txt
    2019-08-09 01:19 - 2019-08-09 01:19 - 000000000 ____H C:\Users\parts\Documents\Default.rdp
    2019-08-09 01:18 - 2019-08-09 18:30 - 000000000 ____D C:\Users\parts\Desktop\444
    ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
    ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
    ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
    ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
    ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
    ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
> DameWare Mini Remote Control - ваше?

Да, мое.

> Политики сами настраивали?

То же наши
 
Результат выполнения скрипта где?
 
Вот
 

Вложения

  • Fixlog.txt
    6.8 KB · Просмотры: 2
Подготовьте лог SecurityCheck by glax24

Для правильного удаления Farbar Recovery Scan Tool переименуйте исполняемый файл FRST64.exe (или FRST.exe) в Uninstall.exe. Запустите файл Uninstall.exe. Появится уведомление о необходимости перезагрузить систему для окончательного удаления Farbar Recovery Scan Tool.
 
SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 15.08.2019 14:10:54
Path starting: C:\Users\Администратор\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Администратор
VersionXML: 6.68is-12.08.2019
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Professional Lang: Russian(0419)
Дата установки ОС: 13.09.2016 11:12:33
Статус лицензии: Windows(R) 7, Professional edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [150.9 Гб] Занято: [63.5 Гб] Свободно: [87.4 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.19431 [+]
Контроль учётных записей пользователя включен (Уровень 3)
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2019-08-14 14:34:23
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба работает
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Endpoint Security для Windows (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Endpoint Security для Windows (отключен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Endpoint Security для Windows (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Агент администрирования Kaspersky Security Center 10 v.10.5.1781
Kaspersky Endpoint Security для Windows v.11.0.1.90 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.2 v.4.7.03062
K-Lite Codec Pack 13.5.0 Standard v.13.5.0 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
7-Zip 17.01 beta (x64) v.17.01 beta Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
7-Zip 19.00 (x64 edition) v.19.00.00.0
--------------------------------- [ IM ] ----------------------------------
Viber v.10.7.0.16 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ SPY ] ---------------------------------
UltraVnc v.1.2.24 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 144 (64-bit) v.8.0.1440.1 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u221-windows-x64.exe)^
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.7.5.9 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.192 Внимание! Скачать обновления
Adobe Acrobat Reader DC - Russian v.19.012.20036 [+]
------------------------------- [ Browser ] -------------------------------
Google Chrome v.76.0.3809.100
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Endpoint Security Service (AVP) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows\avp.exe v.11.0.1.90
C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\vapm.exe v.10.5.1781.0
Защитник Windows (WinDefend) - Служба остановлена
Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------

UltraVNC - сам ставил.
 
Последнее редактирование:
Исправьте найденное, на этом все, чем можем помочь.
 
А можно ли как нить получить тело вируса? На форуме вроде есть темы про подобного шифровальщика.
А то я обратился в ТП Касперсокого, они сказали что нужна сама вирусня, а с компа не получается его вытащить.
 
После шифрования тело удаляется автоматом.
 
Назад
Сверху Снизу