• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Шифровальщик [mryoba@cock.li].yoba

Статус
В этой теме нельзя размещать новые ответы.

Kolobkovsky

Новый пользователь
Сообщения
6
Реакции
0
Помогите дешифровать файлы! Пострадало очень много документов на рабочем компе.
Был в отпуске, компьютер на работе был включён постоянно, для удалённого подключения и т.д.
Вернулся, все файлы зашифрованы.
Пример названия файлов после шифровки:
диск С - email-mryoba@cock.li.ver-CS 1.6.id-.fname-ремонты.zip.cs16.[mryoba@cock.li].yoba
диск D - Методические рекомендации Категорирование ОКИИ для МО ПО.doc.[mryoba@cock.li].yoba
Обнаружил что Kaspersky Endpoint Security 11 (лицензия) на машине был удалён.
Установил лицензию drweb-12.0-ss-win, проверил компьютер. Лог файл прилагаю. (большой объём, ссылка с файлообменника DropMeFiles – free one-click file sharing service)
Нарыл ещё какие то подозрительные программы, всё запаковал в архив под паролем. DropMeFiles – free one-click file sharing service
Буду премного благодарен за помощь!!!
 

Вложения

  • файлы ориг _ зашифр.zip
    572.2 KB · Просмотры: 3
Последнее редактирование модератором:
дополнительные файлы
 

Вложения

  • CollectionLog-2019.09.27-13.56.zip
    93.8 KB · Просмотры: 2
  • report1.log
    877 байт · Просмотры: 0
  • report2.log
    2.7 KB · Просмотры: 0
  • hijackthis.log
    13.6 KB · Просмотры: 1
Здравствуйте!

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
отчеты
 

Вложения

  • Addition.txt
    75.6 KB · Просмотры: 1
  • FRST.txt
    194.2 KB · Просмотры: 1
Похоже поработали три вымогателя...

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-3730072582-3362288003-2493391378-1000\...\MountPoints2: {08e333ba-d1ae-11e6-bdf3-f07959621794} - F:\LGAutoRun.exe
    HKU\S-1-5-21-3730072582-3362288003-2493391378-1000\...\MountPoints2: {2a637597-9337-11e9-9c83-f07959621794} - Z:\Autorun.exe
    HKU\S-1-5-21-3730072582-3362288003-2493391378-1000\...\MountPoints2: {35211af4-9809-11e9-9214-f07959621794} - Z:\Autorun.exe
    HKU\S-1-5-21-3730072582-3362288003-2493391378-1000\...\MountPoints2: {6b3ba3e7-1c88-11e8-b936-f07959621794} - F:\setup.exe
    HKU\S-1-5-21-3730072582-3362288003-2493391378-1000\...\MountPoints2: {9367dd7f-ad70-11e2-b9b7-806e6f6e6963} - E:\RunThis.exe
    HKU\S-1-5-21-3730072582-3362288003-2493391378-1000\...\MountPoints2: {a1232e7f-ad8c-11e2-900c-90e6ba2528af} - Y:\Autorun.exe
    HKU\S-1-5-21-3730072582-3362288003-2493391378-1000\...\MountPoints2: {e733d14d-3684-11e5-8958-90e6ba2528af} - F:\SecureDrive.exe
    HKU\S-1-5-21-3730072582-3362288003-2493391378-1000\...\MountPoints2: {e8a466b8-db19-11e3-a808-90e6ba2528af} - F:\AutoRun.exe
    HKU\S-1-5-21-3730072582-3362288003-2493391378-1000\...\MountPoints2: {fed8abc9-ac40-11e9-a1e7-f07959621794} - F:\HiSuiteDownLoader.exe
    IFEO\sethc.exe: [Debugger] seth.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicyScripts: Restriction <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {63158DE0-893E-43AB-9414-65556C498192} - System32\Tasks\AdobeTaskUpdate => C:\ProgramData\Nvidea\svchost.exe <==== ATTENTION
    C:\ProgramData\Nvidea\svchost.exe
    SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1404278226&from=amt&uid=WDCXWD3200AAKS-75L9A0_WD-WCAV2818618786187&q={searchTerms}
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1404278226&from=amt&uid=WDCXWD3200AAKS-75L9A0_WD-WCAV2818618786187&q={searchTerms}
    BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
    BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
    BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKU\S-1-5-21-3730072582-3362288003-2493391378-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
    Toolbar: HKU\S-1-5-21-3730072582-3362288003-2493391378-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    S3 atillk64; \??\C:\Users\Andrey\AppData\Local\Temp\_tc\atillk64.sys [X] <==== ATTENTION
    2019-09-04 04:06 - 2019-09-04 04:06 - 000000461 _____ C:\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000007008 _____ C:\Users\Администратор\HOW TO RECOVER ENCRYPTED FILES.TXT.[mryoba@cock.li].yoba
    2019-09-04 04:05 - 2019-09-04 04:05 - 000007008 _____ C:\Users\DefaultAccount\HOW TO RECOVER ENCRYPTED FILES.TXT.[mryoba@cock.li].yoba
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\Все пользователи\Documents\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\Администратор\Downloads\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\Администратор\Documents\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\Администратор\Desktop\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\Администратор\AppData\Roaming\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\Администратор\AppData\LocalLow\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\Администратор\AppData\Local\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\Администратор\AppData\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\Администратор\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\Public\Downloads\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\Public\Documents\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\Public\Desktop\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\Public\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\DHCP\Downloads\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\DHCP\Documents\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\DHCP\Desktop\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\DHCP\AppData\Roaming\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\DHCP\AppData\LocalLow\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\DHCP\AppData\Local\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\DHCP\AppData\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\DHCP\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\DefaultAccount\Downloads\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\DefaultAccount\Documents\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\DefaultAccount\Desktop\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\DefaultAccount\AppData\Roaming\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\DefaultAccount\AppData\LocalLow\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\DefaultAccount\AppData\Local\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\DefaultAccount\AppData\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\DefaultAccount\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\Users\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000461 _____ C:\ProgramData\Documents\!=How_recovery_files=!.txt
    2019-09-04 04:05 - 2019-09-04 04:05 - 000000096 _____ C:\Users\README.txt.[mryoba@cock.li].yoba
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\Default\Downloads\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\Default\Documents\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\Default\Desktop\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\Default\AppData\Roaming\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\Default\AppData\Local\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\Default\AppData\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\Default\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\Default User\Downloads\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\Default User\Documents\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\Default User\Desktop\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\Default User\AppData\Roaming\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\Default User\AppData\Local\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\Default User\AppData\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\Default User\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\ASPNET\Downloads\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\ASPNET\Documents\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\ASPNET\Desktop\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\ASPNET\AppData\Roaming\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\ASPNET\AppData\LocalLow\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\ASPNET\AppData\Local\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\ASPNET\AppData\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\ASPNET\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\Andrey\Downloads\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\Andrey\Documents\!=How_recovery_files=!.txt
    2019-09-04 04:03 - 2019-09-04 04:03 - 000000461 _____ C:\Users\Andrey\!=How_recovery_files=!.txt
    2019-09-04 04:02 - 2019-09-04 04:02 - 000000461 _____ C:\Users\Andrey\Desktop\!=How_recovery_files=!.txt
    2019-09-04 04:01 - 2019-09-04 04:01 - 000000461 _____ C:\Users\Andrey\AppData\Roaming\!=How_recovery_files=!.txt
    2019-09-04 04:01 - 2019-09-04 04:01 - 000000461 _____ C:\Users\Andrey\AppData\!=How_recovery_files=!.txt
    2019-09-04 03:56 - 2019-09-04 03:56 - 000000461 _____ C:\Users\Andrey\AppData\LocalLow\!=How_recovery_files=!.txt
    2019-09-04 03:55 - 2019-09-04 03:55 - 000000461 _____ C:\Users\Andrey\AppData\Local\!=How_recovery_files=!.txt
    2019-09-04 03:49 - 2019-09-04 03:49 - 000000461 _____ C:\Users\Andrey\AppData\Local\Apps\!=How_recovery_files=!.txt
    2019-09-04 03:47 - 2019-09-04 04:05 - 000000461 _____ C:\Users\Все пользователи\!=How_recovery_files=!.txt
    2019-09-04 03:47 - 2019-09-04 04:05 - 000000461 _____ C:\ProgramData\!=How_recovery_files=!.txt
    2019-09-04 02:40 - 2019-09-04 02:40 - 000000082 _____ C:\Program Files\README.txt
    2019-09-04 02:36 - 2019-09-04 02:36 - 000000082 _____ C:\Program Files\Common Files\README.txt
    Zip: c:\FRST\Quarantine\
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Прикрепите его тоже к следующему сообщению.

Подробнее читайте в этом руководстве.
 
пароль на архив со зверьём - 11111
 

Вложения

  • 30.09.2019_07.56.53.zip
    59.2 KB · Просмотры: 1
извиняюсь!
 

Вложения

  • Fixlog.txt
    21.2 KB · Просмотры: 1
Подождите некоторое время.
 
Шифратора, который бы зашифровал файлы в том виде, в котором Вы прислали, в данном архиве не найдено.

Увы, с расшифровкой помочь не сможем.
 
ну что же, пИчально конечно! но всё равно, спасибо за участие в моей проблеме!!!
можете закрывать обращение тогда.
 
Последнее редактирование:
На будущее - проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу