• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Расшифровка [datastore@cyberfear.com].Elbie

yaknick

Новый пользователь
Сообщения
13
Реакции
1
Добрый день

Столкнулся с [datastore@cyberfear.com].Elbie
В архиве кроме зашифрованных файлов скрин записки

Спасибо
 

Вложения

  • Addition.txt
    36.4 KB · Просмотры: 1
  • FRST.txt
    44.2 KB · Просмотры: 1
  • Зашифрованные.zip
    118.6 KB · Просмотры: 1
Здравствуйте!

Это Phobos, расшифровки нет, к сожалению.

Файл
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.cr_osn.exe
проверьте на www.virustotal.com и покажите ссылку на результат.

Уберите разрешения на эти порты:
FirewallRules: [{F6FD693A-2622-4662-8086-028CB5955C41}] => (Allow) LPort=1688
FirewallRules: [{0B3760A5-60D9-42E5-944B-D2CEBA1D2341}] => (Allow) LPort=443
 
Защитник виндовс уже распознал файл
Восстановить его и проверить?
Доступа к фаерволу убрать разрешения к сожалению нет, все закрыто
 

Вложения

  • Clip2Net Menu_2023-01-12_09_06_31.png
    Clip2Net Menu_2023-01-12_09_06_31.png
    7.5 KB · Просмотры: 87
Восстановить его и проверить?
Нет, не нужно. Проверьте нет ли его по этому пути
C:\Users\Администратор.WIN-OGVJD17HHL0\AppData\Local\.cr_osn.exe

Доступа к фаерволу убрать разрешения к сожалению нет, все закрыто
Можем убрать скриптом:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.cr_osn.exe [2022-12-09] () [Файл не подписан]
    Startup: C:\Users\Администратор.WIN-OGVJD17HHL0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.cr_osn.exe [2022-12-09] () [Файл не подписан]
    2023-01-11 15:29 - 2022-12-09 08:51 - 000057344 ____N () C:\Users\Администратор.WIN-OGVJD17HHL0\AppData\Local\.cr_osn.exe
    2023-01-11 15:32 - 2023-01-11 17:52 - 000005466 _____ C:\Users\Администратор.WIN-OGVJD17HHL0\Desktop\info.hta
    2023-01-11 15:32 - 2023-01-11 17:52 - 000005466 _____ C:\Users\Public\Desktop\info.hta
    2023-01-11 15:32 - 2023-01-11 17:52 - 000005466 _____ C:\info.hta
    2023-01-11 15:32 - 2023-01-11 17:52 - 000000191 _____ C:\Users\Администратор.WIN-OGVJD17HHL0\Desktop\info.txt
    2023-01-11 15:32 - 2023-01-11 17:52 - 000000191 _____ C:\Users\Public\Desktop\info.txt
    2023-01-11 15:32 - 2023-01-11 17:52 - 000000191 _____ C:\info.txt
    AlternateDataStreams: C:\Windows\system32\Drivers\bgvcluru.sys:changelist [1506]
    FirewallRules: [{F6FD693A-2622-4662-8086-028CB5955C41}] => (Allow) LPort=1688
    FirewallRules: [{0B3760A5-60D9-42E5-944B-D2CEBA1D2341}] => (Allow) LPort=443
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Сервер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 
Спасибо
Шансы на расшифровку в будущем есть?
 
Весьма и весьма сомнительно (
Если намерены сохранить файлы в надежде на появление расшифровки, сохраните и папку C:\FRST.
 
Назад
Сверху Снизу