• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. помогите email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-про.kmz.doubleoffset

Статус
В этой теме нельзя размещать новые ответы.

adastmin

Новый пользователь
Сообщения
9
Реакции
1
помогите победить вирус
в README1.txt write you country to lybot@rape.lol
 

Вложения

  • email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-про.kmz.zip
    86.7 KB · Просмотры: 1
Последнее редактирование:
Вот файлы логи и нескоглько файлов собранные на серваке
 

Вложения

  • зашифрованые_файлы.zip
    114.1 KB · Просмотры: 1
  • Addition.txt
    29.6 KB · Просмотры: 1
  • CollectionLog-2019.06.26-11.07.zip
    60.5 KB · Просмотры: 1
  • report2.log
    1.7 KB · Просмотры: 0
  • report1.log
    464 байт · Просмотры: 1
  • FRST.txt
    103.3 KB · Просмотры: 0
  • hijackthis.log
    8.9 KB · Просмотры: 0
  • README1.txt
    56 байт · Просмотры: 0
Смените все пароли, у вас работает Backdoor + trojan-spy с 21.06

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('WindowsCertificateService', 4);
 SetServiceStart('WinMediaService', 4);
 StopService('WindowsCertificateService');
 StopService('WinMediaService');
 QuarantineFile('C:\Users\sysadmin\Pictures\PC_H64as.sys', '');
 QuarantineFile('c:\windows\media\long\certsvc.exe', '');
 QuarantineFile('C:\Windows\msapss\bin\msapp.exe', '');
 DeleteFile('c:\windows\media\long\certsvc.exe', '32');
 DeleteFile('C:\Windows\msapss\bin\msapp.exe', '32');
 DeleteService('WindowsCertificateService');
 DeleteService('WinMediaService');
BC_ImportALL;
 ExecuteRepair(9);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.


1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
 
имя карантина 2019.06.26_quarantine_a15f1f65eb6b0a4df71f74ac743a9057.zip пароль malware
 
Последнее редактирование:
  • Like
Реакции: akok
KVRT
 

Вложения

  • Reports.zip
    482 байт · Просмотры: 1
А вот теперь нужны свежие логи FRST. Прикрепите их, пожалуйста.

+++

Найдите пару файлов: зашифрованный и его оригинальную копию. Прикрепите их к в теме (в архиве).
 
вот оригинальный и шифрованный файл
 

Вложения

  • 3. короткий.zip
    6.7 KB · Просмотры: 4
Тогда ждем логи FRST
 
Логи FRST пришлю завтра утром. Офис закрылся. Что скажите по поводу расшифровки или ключа?
 
После очистки следов вымогателя в системе получите инструкции. Дешифрует успешно.
 
Вот ребята. лог после очистки. Самое главное расшифровка файлов. это кстати 1 сервак, скажите еще зашифровано штук 20 надо со всех логи потом или как? Мне надо сегодня дешифровать хоть сервак 1с с которого я логи скидывал в теме, зп надо бухгалтерии платить работникам, ибо с 21.06 все шифровано.
 

Вложения

  • FRST.zip
    15.5 KB · Просмотры: 1
Последнее редактирование:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\README.txt
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\README.txt
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\Downloads\README.txt
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\Documents\README.txt
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\Desktop\README.txt
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\AppData\Roaming\README.txt
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\AppData\README.txt
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\Users\_admin\AppData\LocalLow\README.txt
    2019-06-22 00:15 - 2019-06-22 00:15 - 000000056 _____ C:\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\Downloads\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\Documents\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\Desktop\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\AppData\Roaming\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\AppData\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\sysadmin\AppData\LocalLow\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\_admin\AppData\Local\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ C:\Users\_admin\AppData\Local\Apps\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\sysadmin\AppData\Local\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Public\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Public\Downloads\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\Downloads\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\Documents\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\Desktop\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\AppData\Roaming\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\AppData\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\AppData\LocalLow\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys5\AppData\Local\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\Downloads\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\Documents\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\Desktop\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\AppData\Roaming\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\AppData\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\AppData\LocalLow\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\itsys\AppData\Local\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\Downloads\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\Documents\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\Desktop\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\AppData\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default\AppData\Local\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\Documents\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\AppData\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\credo\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\credo\Downloads\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\credo\Documents\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ C:\Users\credo\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-22 00:11 - 2019-06-22 00:11 - 000000056 _____ C:\Users\credo\Desktop\README.txt
    2019-06-22 00:11 - 2019-06-22 00:11 - 000000056 _____ C:\Users\credo\AppData\Roaming\README.txt
    2019-06-22 00:11 - 2019-06-22 00:11 - 000000056 _____ C:\Users\credo\AppData\README.txt
    2019-06-22 00:10 - 2019-06-22 00:10 - 000000056 _____ C:\Users\credo\AppData\LocalLow\README.txt
    2019-06-22 00:04 - 2019-06-22 00:04 - 000000056 _____ C:\Users\credo\AppData\Local\README.txt
    2019-06-22 00:02 - 2019-06-22 00:02 - 000000056 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-06-21 23:59 - 2019-06-22 00:15 - 000001253 _____ C:\Users\Все пользователи\README.txt
    2019-06-21 23:59 - 2019-06-22 00:15 - 000001253 _____ C:\ProgramData\README.txt
    2019-06-21 23:59 - 2019-06-22 00:13 - 000001253 _____ C:\Users\Public\Documents\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-21 23:59 - 2019-06-22 00:13 - 000001253 _____ C:\Users\Public\Desktop\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-21 23:59 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Public\Documents\README.txt
    2019-06-21 23:59 - 2019-06-22 00:13 - 000000056 _____ C:\Users\Public\Desktop\README.txt
    2019-06-21 23:59 - 2019-06-22 00:04 - 000001253 _____ C:\Users\Все пользователи\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-21 23:59 - 2019-06-22 00:04 - 000001253 _____ C:\ProgramData\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-21 23:59 - 2019-06-21 23:59 - 000000056 _____ C:\Program Files (x86)\README.txt
    2019-06-21 23:55 - 2019-06-21 23:55 - 000000056 _____ C:\Program Files\README.txt
    2019-06-21 23:47 - 2019-06-22 00:14 - 000000000 ____D C:\Users\sysadmin\Downloads\opera autoupdate
    2019-06-21 23:47 - 2019-06-21 23:47 - 000000056 _____ C:\Program Files\Common Files\README.txt
    2019-06-21 23:46 - 2019-06-22 00:13 - 000001253 _____ C:\Users\email-lybot@rape.lol.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-21 23:55 - 2019-06-21 23:55 - 000000056 _____ () C:\Program Files\README.txt
    2019-06-21 23:59 - 2019-06-21 23:59 - 000000056 _____ () C:\Program Files (x86)\README.txt
    2019-06-21 23:47 - 2019-06-21 23:47 - 000000056 _____ () C:\Program Files\Common Files\README.txt
    2019-06-21 23:57 - 2019-06-21 23:57 - 000000056 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ () C:\Users\sysadmin\AppData\Roaming\README.txt
    2019-06-22 00:14 - 2019-06-22 00:14 - 000000056 _____ () C:\Users\sysadmin\AppData\Roaming\Microsoft\README.txt
    2019-06-22 00:13 - 2019-06-22 00:13 - 000000056 _____ () C:\Users\sysadmin\AppData\Local\README.txt
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Проверьте ЛС
 
расшифровка не помогла. куда прислать скриншот?
 
Большие файлы? Ответьте на сообщение в ЛС
 
Ответил в лс, прикрепил файлы
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу