Решена Вирус-шифровщик Win32:Crypt-OSW, sos2554@mail.ru

Vlvlkir

Новый пользователь
Сообщения
7
Реакции
0
Компьютер поражен шифровщиком. Файлы зашифрованы, добавлено расширение .sos. Зашифрованы текстовые файлы, dbf, mdb, lnk и т.д.
Из всего нужна только расшифровка 1эсовских файлов .dbf.
Возможно восстановить базы?
 

Вложения

  • LOGAVZ.rar
    222.3 KB · Просмотры: 0
  • hijackthis.log
    4 KB · Просмотры: 1
  • КАК РАСШИФРОВАТЬ ФАЙЛЫ.rar
    672 байт · Просмотры: 3
  • SC120.DBF.rar
    138 KB · Просмотры: 0
Последнее редактирование модератором:
Приветствую Vlvlkir, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Я всю папку логов из АВЗ вложил. Если что вот отдельно..
 

Вложения

  • virusinfo_syscheck.zip
    63.8 KB · Просмотры: 0
  • virusinfo_syscure.zip
    64 KB · Просмотры: 1
логи удалённо делались?

прикрепите несколько небольших зашифрованных офисных файлов или картинок.
 
В первом сообщении прикреплен файл sc120.dbf, мне кроме баз ничего не нужно.
Да, на этом компьютере кроме них ничего и не было. За ним никто не работает, как этот гад туда пробрался - загадка? Это сервер 1С баз.

Добавлено через 2 минуты 46 секунд
логи удалённо делались?

Нет, на зараженном компьютере делал.

Добавлено через 39 минут 17 секунд
Вирус создал профиль пользователя именем quarkv2.2w64. В нем несколько файлов. Хотел приложить к первому сообщению, но архив был удален из сообщения, с сообщением, что он содержит вирус.

Добавлено через 5 часов 1 минуту 4 секунды
Так же на компьютере был файл Xa.exe.exe, распознается как Backdoor.Win32.DarkHole.dc
 
Обнаружил еще детали, может важно. В ПрограммФайлс каталог Rublik с какой-то начинкой.
И еще момент, на диске была папка Архив с копиями баз. Сейчас ее нет ни зашифрованной, никакой. Есть вариант поискать какой-нибудь программой восстановления удаленных файлов? Этот архив нас бы сильно выручил.

Добавлено через 2 часа 32 минуты 59 секунд
Вот пара txt файлов зашифрованных.
 
...
 

Вложения

  • ip.txt.rar
    594 байт · Просмотры: 1
  • param.txt.rar
    2.1 KB · Просмотры: 1
Vlvlkir, скопируйте зашифрованные файлы в отдельную папку.

Информация
Во избежания окончательной потери информации все действия производите только на копии зашифрованных файлов скопированных в отдельную папку, можно даже на другой машине
скачайте утилиту te94decrypt и поместите её в папку с копиями шифрованных файлов. Создайте ярлык для запуска этой утилиты, в свойствах ярлыка припишите ключ -k 380 должно получиться, как на скрине и нажмите Ок.
3451bd2a81b716eae71ab55ba85ab21a.png
Запустите утилиту через этот ярлык, проверьте результат расшировки файлов.

ЗЫ. у вас там кроме шифровальщика был биткоин майнер и похоже и другие вирусы, пока попробуйте ещё раз переделать логи AVZ.
 
Последнее редактирование:
Вроде, все сделал по инструкции. Утилита запускается и начинает проверять содержимое всех дисков, а не той папки, где лежит.

Добавлено через 16 минут 33 секунды
regist!!! Это супер!!!
Может я торможу. Если после ключа указать путь к конкретному файлу - эта штука его корректно расшифровывает!!! Если указать папку не хочет ничего делать. Через ярлык, как в инструкции начинает перебирать все файлы на компе. Как это победить? Я уже вижу "свет в конце тоннеля!" Но по одному файлу, я умру. В каждой 1эсовской базе их под 1000.

Добавлено через 1 минуту 4 секунды
Да и еще один вопрос, а нельзя ее заставить возвращать родные расширения файлам?

Добавлено через 21 минуту 40 секунд
Сам не понял как, но только что полность расшифровал базу. Все имена и расширения родные. База полностью работоспособна. Продолжаю эксперименты.
По поводу дополнительных логов - мне кроме баз ничего не надо. Я винду переустановлю.
 
Огромное СПАСИБО!!!

Огромнейшее СПАСИБО! за помощь.
Всем кто создал и поддерживает этот ресурс.
И персонально Regist' у.
Пока кинулся отчитаться - тема уже закрыта.
Все восстановлено, все расшифровано, еще раз - СПАСИБО!

P.S. Может есть какие рекомендации, как уберечься о подобной заразы?
 
Выполните рекомендации после лечения

а также регулярно обновляйте программы, а особенно следите за актуальностью антивируса. В случае с шифровальщиками ещё актуально делать бэкапы.
 
Назад
Сверху Снизу