• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Взлом и шифрование компьютеров Work и Home

Статус
В этой теме нельзя размещать новые ответы.

kard1nal

Новый пользователь
Сообщения
14
Реакции
0
Здравствуйте, ночью 08 мая, как сказал системный администратор, был взлом локального компьютера сети(далее Work).
Подобрали пароль к учетке удаленного рабочего стола. На нем был открыт удаленный рабочий стол домашнего компьютера(далее Home).
По итогу оба зашифрованы. На рабочем столе Work был найден файл ruch.exe(приложил в архиве, как понимаю сам шифровальщик).
При включении компьютера, так же была запущена Hack Tool... что-то связанное с внедрением в процессы.
Во вложении файлы(логи и зашифрованные файлы) с Home (Домашнего компьютера).
Заранее, спасибо.
 

Вложения

  • CollectionLog-2019.05.11-16.50.zip
    132 KB · Просмотры: 1
  • ruch.rar
    183.9 KB · Просмотры: 1
  • Образцы зашифрованных файлов и требование о выкупе.zip
    80.5 KB · Просмотры: 1
Скачайте Farbar Recovery Scan Tool
NAAC5Ba.png
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
Файлы FRST.txt и Addition.txt
 

Вложения

  • Файлы FRST.txt и Addition.txt.zip
    85.7 KB · Просмотры: 1
1. Выделите следующий код:
Код:
Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
FF Plugin-x32: USSC Web Components -> C:\Program Files (x86)\USSC Web Components\npUSSCWebVideoPlugin.dll [No File]
HKLM\SYSTEM\CurrentControlSet\Services\458257BF88370F30 <==== ATTENTION (Rootkit!)
2019-05-10 01:19 - 2019-05-10 01:19 - 000000000 ____D C:\Users\WorkSpace\AppData\Roaming\Process Hacker 2
2019-05-09 09:14 - 2019-05-09 09:14 - 000000061 _____ C:\README.txt
2019-05-09 04:01 - 2019-05-09 04:01 - 000000061 _____ C:\Users\README.txt
2019-05-09 02:59 - 2019-05-09 02:59 - 000000061 _____ C:\Users\WorkSpace\README.txt
2019-05-09 02:25 - 2019-05-09 02:25 - 000000061 _____ C:\Users\WorkSpace\Downloads\README.txt
2019-05-09 01:56 - 2019-05-09 01:56 - 000000061 _____ C:\Users\WorkSpace\AppData\Roaming\README.txt
2019-05-09 01:56 - 2019-05-09 01:56 - 000000061 _____ C:\Users\WorkSpace\AppData\README.txt
2019-05-08 19:36 - 2019-05-08 19:36 - 000000061 _____ C:\Program Files (x86)\README.txt
2019-05-08 17:59 - 2019-05-09 02:27 - 000001262 _____ C:\Users\WorkSpace\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 17:59 - 2019-05-08 17:59 - 000000061 _____ C:\Users\WorkSpace\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-08 16:52 - 2019-05-09 02:19 - 000001262 _____ C:\Users\WorkSpace\Downloads\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 16:18 - 2019-05-09 02:18 - 000001262 _____ C:\Users\WorkSpace\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 16:18 - 2019-05-09 02:18 - 000000061 _____ C:\Users\WorkSpace\Documents\README.txt
2019-05-08 16:12 - 2019-05-09 02:07 - 000001262 _____ C:\Users\WorkSpace\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 14:42 - 2019-05-09 01:53 - 000001262 _____ C:\Users\WorkSpace\AppData\Roaming\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 14:42 - 2019-05-09 01:12 - 000001262 _____ C:\Users\WorkSpace\AppData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 14:10 - 2019-05-08 14:10 - 000000061 _____ C:\Program Files\README.txt
2019-05-08 12:10 - 2019-05-08 12:10 - 000000061 _____ C:\Program Files\Common Files\README.txt
2019-05-08 11:59 - 2019-05-09 01:12 - 000001262 _____ C:\Users\WorkSpace\AppData\LocalLow\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 11:59 - 2019-05-09 01:12 - 000000061 _____ C:\Users\WorkSpace\AppData\LocalLow\README.txt
2019-05-08 11:57 - 2019-05-09 00:51 - 000001262 _____ C:\Users\WorkSpace\AppData\Local\README.txt
2019-05-08 07:58 - 2019-05-09 00:32 - 000001262 _____ C:\Users\WorkSpace\AppData\Local\Apps\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 07:58 - 2019-05-09 00:32 - 000000061 _____ C:\Users\WorkSpace\AppData\Local\Apps\README.txt
2019-05-08 07:58 - 2019-05-08 09:54 - 000001262 _____ C:\Users\WorkSpace\AppData\Local\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:46 - 2019-05-09 00:08 - 000001262 _____ C:\Users\Public\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:46 - 2019-05-09 00:08 - 000001262 _____ C:\Users\Public\Downloads\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:46 - 2019-05-09 00:08 - 000000061 _____ C:\Users\Public\README.txt
2019-05-08 05:46 - 2019-05-09 00:08 - 000000061 _____ C:\Users\Public\Downloads\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\JetBrainsYouTrack\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\JetBrainsYouTrack\Downloads\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\JetBrainsYouTrack\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\JetBrainsYouTrack\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\JetBrainsYouTrack\AppData\Roaming\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\JetBrainsYouTrack\AppData\LocalLow\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\JetBrainsYouTrack\AppData\Local\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\JetBrainsYouTrack\AppData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\Default\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\Default\Downloads\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\Default\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\Default\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\Default\AppData\Roaming\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\Default\AppData\Local\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\Default\AppData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\Default User\Downloads\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\Default User\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\Default User\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\Default User\AppData\Roaming\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\Default User\AppData\Local\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000001262 _____ C:\Users\Default User\AppData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\JetBrainsYouTrack\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\JetBrainsYouTrack\Downloads\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\JetBrainsYouTrack\Documents\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\JetBrainsYouTrack\Desktop\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\JetBrainsYouTrack\AppData\Roaming\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\JetBrainsYouTrack\AppData\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\JetBrainsYouTrack\AppData\LocalLow\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\JetBrainsYouTrack\AppData\Local\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\Default\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\Default\Downloads\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\Default\Documents\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\Default\Desktop\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\Default\AppData\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\Default\AppData\Local\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\Default User\Documents\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\Default User\AppData\README.txt
2019-05-08 05:42 - 2019-05-09 00:07 - 000000061 _____ C:\Users\Default User\AppData\Local\README.txt
2019-05-08 05:42 - 2019-05-08 19:55 - 000001262 _____ C:\Users\Все пользователи\README.txt
2019-05-08 05:42 - 2019-05-08 19:55 - 000001262 _____ C:\ProgramData\README.txt
2019-05-08 05:42 - 2019-05-08 05:42 - 000000061 _____ C:\Users\JetBrainsYouTrack\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-08 05:42 - 2019-05-08 05:42 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-08 05:42 - 2019-05-08 05:42 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-08 05:42 - 2019-05-08 05:42 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-05-08 02:36 - 2019-05-09 00:08 - 000001262 _____ C:\Users\Public\Documents\README.txt
2019-05-08 02:36 - 2019-05-08 05:46 - 000001262 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 02:35 - 2019-05-09 00:07 - 000001262 _____ C:\Users\Public\Desktop\README.txt
2019-05-08 02:35 - 2019-05-08 05:42 - 000001262 _____ C:\Users\Public\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 02:33 - 2019-05-08 05:42 - 000001262 _____ C:\Users\Все пользователи\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 02:33 - 2019-05-08 05:42 - 000001262 _____ C:\ProgramData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
2019-05-08 02:29 - 2019-05-09 00:08 - 000001262 _____ C:\Users\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
AlternateDataStreams: C:\Users\Public\DRM:Ш§ШШЄШ¶Ш§Щ† [48]
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 
Готово
 

Вложения

  • Fixlog.txt
    18.8 KB · Просмотры: 2
Огромное спасибо, пару папок расшифровал успешно, об окончательных результатах отпишусь.
 
Большая часть файлов расшифрована. ~80 тысяч файлов из ~5 миллионов не расшифрована - ошибка IO errors, в целом вроде ничего ценного, просто интересно что это может быть?
 
Как предположение:
1. Длинные пути файлов
2. Нестандартные разрешения для папок/файлов

Попробуйте перенести часть файлов в отдельную папку и попробовать расшифровать их там.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу