Закрыто Расшифровать после [omegawatch@protonmail.com][1618977787-1588521390]

[olegkan]

Злоумышленник удалил под учеткой админа антивирус, потом видимо запустил шифровальщик который шифрует файл и добавляет к его имени: [omegawatch@protonmail.com][1618977787-1588521390], и случайное расширение. Когда я это обнаружил установил антивирус drWeb он шифровальщик нашел удалил в карантин, извлек его из карантина и запаковал для вас в архив. Логи тоже вложил и пару зашифрованных файлов тоже.

 

[akok]

Взломали через уязвимость или простой пароль RDP, по поводу расшифровки подождите ответа @thyrex

 

[akok]

Система под переустановку или будем чистить?

 

[olegkan]

наверное взломали через простой пароль RDP. Систему переустанавливливать не планирую, антивирусом прогнал вроде нет вируса

 

[akok]

Политики сами настраивали?
GroupPolicy: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKLM-x32\...\Run: [] => [X]
  HKLM-x32\...\Run: [1184860] => 1184860
  Task: {1360C0EF-CA00-4257-8AC8-A7DADC2EEAB7} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
  Task: {45163A06-2EB6-4987-A5DD-4F8C01ED55C8} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE
  2020-05-03 17:10 - 2020-05-03 17:10 - 000000095 _____ C:\Users\user\README.txt
  2020-05-03 17:10 - 2020-05-03 17:10 - 000000095 _____ C:\Users\user\Desktop\README.txt
  2020-05-03 17:10 - 2020-05-03 17:10 - 000000095 _____ C:\Users\user\AppData\Roaming\README.txt
  2020-05-03 17:10 - 2020-05-03 17:10 - 000000095 _____ C:\Users\user\AppData\README.txt
  2020-05-03 17:05 - 2020-05-03 17:05 - 000000095 _____ C:\Users\user\AppData\LocalLow\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\scan\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\scan\Downloads\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\scan\Desktop\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\scan\AppData\Roaming\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\scan\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\scan\AppData\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\scan\AppData\LocalLow\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Public\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Public\Downloads\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default\Downloads\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default\Desktop\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default\AppData\Roaming\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default\AppData\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default User\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default User\Downloads\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default User\Desktop\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default User\AppData\Roaming\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\Default User\AppData\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\BUH2-HP-user\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\BUH2-HP-user\AppData\Roaming\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\BUH2-HP-user\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ C:\Users\BUH2-HP-user\AppData\README.txt
  2020-05-03 16:26 - 2020-05-03 16:26 - 000000095 _____ C:\Users\BUH2-HP-user\AppData\LocalLow\README.txt
  2020-05-03 16:00 - 2020-05-03 16:00 - 000000095 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
  2020-05-03 15:59 - 2020-05-03 15:59 - 000000095 _____ C:\Users\Все пользователи\Desktop\README.txt
  2020-05-03 15:59 - 2020-05-03 15:59 - 000000095 _____ C:\Users\Public\Desktop\README.txt
  2020-05-03 15:59 - 2020-05-03 15:59 - 000000095 _____ C:\ProgramData\Desktop\README.txt
  2020-05-03 15:58 - 2020-05-03 15:58 - 000000095 _____ C:\Users\Все пользователи\README.txt
  2020-05-03 15:58 - 2020-05-03 15:58 - 000000095 _____ C:\Users\admin\README.txt
  2020-05-03 15:58 - 2020-05-03 15:58 - 000000095 _____ C:\Users\admin\Downloads\README.txt
  2020-05-03 15:58 - 2020-05-03 15:58 - 000000095 _____ C:\Users\admin\Desktop\README.txt
  2020-05-03 15:58 - 2020-05-03 15:58 - 000000095 _____ C:\Users\admin\AppData\Roaming\README.txt
  2020-05-03 15:58 - 2020-05-03 15:58 - 000000095 _____ C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2020-05-03 15:58 - 2020-05-03 15:58 - 000000095 _____ C:\Users\admin\AppData\README.txt
  2020-05-03 15:58 - 2020-05-03 15:58 - 000000095 _____ C:\Users\admin\AppData\LocalLow\README.txt
  2020-05-03 15:58 - 2020-05-03 15:58 - 000000095 _____ C:\ProgramData\README.txt
  2020-05-03 17:10 - 2020-05-03 17:10 - 000000095 _____ () C:\Users\user\AppData\Roaming\README.txt
  2020-05-03 17:06 - 2020-05-03 17:06 - 000000095 _____ () C:\Users\user\AppData\Roaming\Microsoft\README.txt
  2020-05-03 16:30 - 2020-05-03 16:30 - 000000095 _____ () C:\Users\user\AppData\Local\README.txt
  ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Все администраторы ваши?
Administrator (S-1-5-21-2923885204-2196493748-1802181408-1000 - Administrator - Enabled) => C:\Users\user
Администратор (S-1-5-21-2923885204-2196493748-1802181408-500 - Administrator - Disabled)

Windows Firewall is disabled. - стоит включить, или так задумано?

 

[thyrex]

Версия 1.8 без шансов на данный момент. Простой брут будет нерационален по временным затратам.

 

[olegkan]

..
Administrator (S-1-5-21-2923885204-2196493748-1802181408-1000 - Administrator - Enabled) => C:\Users\user
Администратор (S-1-5-21-2923885204-2196493748-1802181408-500 - Administrator - Disabled)
Windows Firewall is disabled. - стоит включить, или так задумано?

Да это свои администраторы, Файрвол Виндоус выключен потому что установлен ДрВеб и там включен его брандмауэр.
Скрипт я забыл перед запуском в файл сохранить и запустил так, и потом уже после перезагрузки сохранил текст скрипта и запустил повторно...

 

[akok]

Второй раз запускать не нужно было ) На этом все, чем можно помочь.

Подготовьте лог SecurityCheck by glax24


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Для правильного удаления Farbar Recovery Scan Tool переименуйте исполняемый файл FRST64.exe (или FRST.exe) в Uninstall.exe. Запустите файл Uninstall.exe. Появится уведомление о необходимости перезагрузить систему для окончательного удаления Farbar Recovery Scan Tool.

​