• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Запрос на расшифровку файлов [restorefiledata@decoymail.com]

A

anton77

Новый пользователь
Сообщения
6
Реакции
0
Нужна помощь в расшифровке данных и поиске вируса.
 
Здравствуйте!

Нужны данные для анализа. Прочтите и выполните правила раздела.
Что требуется прикрепите к следующему сообщению в этой теме.
 
Как нати и вырубить шифровальщик, вижу что он работает я пока остановил работу файлового сервера?
 
Через Диспетчер задач ищите незнакомые приложения.
 
Посмотрите все ли собрал?
 

Вложения

  • ЕГ.7z
    63.7 KB · Просмотры: 2
Боюсь, что это очередная модификация, не поддающаяся расшифровке. Пока уточняю.
 
то что я прислал скрипт how_to_decrypt это и есть вирус?
 
Нет, это записка с требованием выкупа.
К сожалению, для этой версии Crylock наши инструменты не подходят.
Можем только помочь с очисткой системы от его следов.
 
Да дайте рекомендации если возможно
 
По логам не вижу следов вымогателя. Их собирали на другом ПК?
 
Понятно. Особо плохого там не видно, сделаем небольшую очистку:
Этот файл
C:\Program Files (x86)\stopupdate.bat
Нажмите для раскрытия...
полагаю, вам известен.


Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{AA2757A2-F858-43CD-9E3E-122417EBDB33}] => (Allow) LPort=3389
FirewallRules: [{10B98F3E-2686-4C89-8A52-9620EB943B2F}] => (Allow) LPort=1688
FirewallRules: [{C818339D-A06C-4FC4-A9DB-473FCFD8655C}] => (Allow) LPort=9163
FirewallRules: [{1EEAE7D8-9B65-4AD2-9B82-126BC006A628}] => (Allow) LPort=9164
FirewallRules: [{B9DCCF1A-A09A-49D0-BAE0-C9FF08C98539}] => (Allow) LPort=5353
FirewallRules: [{B4C00678-7AB3-40FB-819A-7FD0A3D9FA10}] => (Allow) LPort=53
FirewallRules: [{5845FD81-F924-4381-AB6A-692930069996}] => (Allow) LPort=53
FirewallRules: [{F179F5B9-3595-429F-92DD-C3643A59A8ED}] => (Allow) LPort=5357
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Шесть учетных записей обладают правами администратора, многовато.
Пароли на учетки смените, также и пароли на подключение к RDP. Это подключение прячьте за VPN.
 
@anton77, получилось выполнить скрипт?
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу