• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Помогите с шифровальщиком email-3nity@tuta.io.ver-CL 1.5.1.0

Статус
В этой теме нельзя размещать новые ответы.

kard1nal

Новый пользователь
Сообщения
14
Реакции
0

Вложения

  • CollectionLog-2019.05.13-12.15.zip
    97.2 KB · Просмотры: 1
  • Образцы зашифрованных файлов и требование о выкупе.zip
    22.1 KB · Просмотры: 1
Здравствуйте!

Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по ссылке из правил) и повторите CollectionLog.
 
Собрал лог актуальной версией.
 

Вложения

  • CollectionLog-2019.05.13-13.08.zip
    91.8 KB · Просмотры: 3
1. Смените пароли на RDP
2. Ждите ответа @thyrex по поводу расшифровки.
 
Последнее редактирование:
++
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Driver Booster 4.5
SpyHunter 5

Дополнительно:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Сделал
 

Вложения

  • AdwCleaner[S00].txt
    1.5 KB · Просмотры: 1
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Готово
 

Вложения

  • FRST.txt
    114.6 KB · Просмотры: 1
  • AdwCleaner[C01].txt
    1.6 KB · Просмотры: 2
  • Addition.txt
    38.5 KB · Просмотры: 2
AdwCleaner[C00].txt - тоже покажите.

Далее:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    ShortcutTarget: Motivate Clock.lnk -> C:\Program Files\Motivate Clock\Motivate Clock.exe (No File)
    GroupPolicy: Restriction ? <==== ATTENTION
    Task: {24D5B251-1B6B-45F2-87F3-3277DAF9BCBF} - System32\Tasks\Driver Booster SkipUAC (User) => C:\Program Files\IObit\Driver Booster\4.5.0\DriverBooster.exe
    FF SearchPlugin: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-yandex.ru-20175314.xml.doubleoffset [2019-05-08]
    FF SearchPlugin: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\README.txt [2019-05-08]
    2019-05-08 03:26 - 2019-05-08 03:26 - 000000061 _____ C:\Users\README.txt
    2019-05-08 03:26 - 2019-05-08 03:26 - 000000061 _____ C:\README.txt
    2019-05-08 03:21 - 2019-05-08 03:21 - 000000061 _____ C:\Users\User\README.txt
    2019-05-08 03:21 - 2019-05-08 03:21 - 000000061 _____ C:\Users\User\Downloads\README.txt
    2019-05-08 03:21 - 2019-05-08 03:21 - 000000061 _____ C:\Users\User\Documents\README.txt
    2019-05-08 03:21 - 2019-05-08 03:21 - 000000061 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-08 03:09 - 2019-05-08 03:09 - 000000061 _____ C:\Users\User\AppData\Roaming\README.txt
    2019-05-08 03:09 - 2019-05-08 03:09 - 000000061 _____ C:\Users\User\AppData\README.txt
    2019-05-08 03:06 - 2019-05-08 03:06 - 000000061 _____ C:\Users\User\AppData\LocalLow\README.txt
    2019-05-08 02:49 - 2019-05-08 02:49 - 000000061 _____ C:\Users\User\AppData\Local\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Public\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Public\Downloads\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\DefaultAppPool\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\DefaultAppPool\Downloads\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\DefaultAppPool\Documents\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\DefaultAppPool\Desktop\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\DefaultAppPool\AppData\Roaming\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\DefaultAppPool\AppData\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\DefaultAppPool\AppData\LocalLow\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\DefaultAppPool\AppData\Local\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Default\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Default\Downloads\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Default\Documents\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Default\Desktop\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Default\AppData\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Default\AppData\Local\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Default User\Documents\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Default User\AppData\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-05-08 02:48 - 2019-05-08 02:48 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-05-08 02:40 - 2019-05-08 03:26 - 000001262 _____ C:\Users\Все пользователи\README.txt
    2019-05-08 02:40 - 2019-05-08 03:26 - 000001262 _____ C:\ProgramData\README.txt
    2019-05-08 02:40 - 2019-05-08 02:48 - 000001262 _____ C:\Users\Все пользователи\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
    2019-05-08 02:40 - 2019-05-08 02:48 - 000001262 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
    2019-05-08 02:40 - 2019-05-08 02:48 - 000001262 _____ C:\Users\Public\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
    2019-05-08 02:40 - 2019-05-08 02:48 - 000001262 _____ C:\ProgramData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
    2019-05-08 02:40 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Public\Documents\README.txt
    2019-05-08 02:40 - 2019-05-08 02:48 - 000000061 _____ C:\Users\Public\Desktop\README.txt
    2019-05-08 02:40 - 2019-05-08 02:40 - 000000061 _____ C:\Program Files\README.txt
    2019-05-08 02:36 - 2019-05-08 02:36 - 000000061 _____ C:\Program Files\Common Files\README.txt
    2019-05-08 02:15 - 2019-05-08 02:48 - 000001262 _____ C:\Users\email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-README.txt.doubleoffset
    2019-05-13 13:35 - 2017-06-21 10:14 - 000000000 ____D C:\Users\User\AppData\Roaming\IObit
    2019-05-13 13:35 - 2017-06-21 10:14 - 000000000 ____D C:\ProgramData\IObit
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Сделано.
 

Вложения

  • AdwCleaner[C00].txt
    1.6 KB · Просмотры: 1
  • Fixlog.txt
    10.4 KB · Просмотры: 1
Расшифровывает, спасибо. Об окончательных результатах отпишусь. Есть ли смысл продолжать работать на данном компьютере или заново накатить OC ? Что посоветуете для защиты от подобных атак, кроме более устойчивого пароля на RDP?
 
+
Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Сканирует, прикреплю.
 

Вложения

  • SecurityCheck.txt
    16.5 KB · Просмотры: 3
Приложил лог к сообщению выше.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу