Шифровальщик прошелся по диску, переименовал и оставил текстовые послания

@Иван Тереньтев · Регистрация: 06.06.2017

Студворк — интернет-сервис помощи студентам

Добрый день,

шифровальщик прошелся по диску, переименовал и оставил текстовые послания.
Windows 8.1, был открыт RDP (учетка с паролем), админская также с паролем.
Можно ли что-нибудь сделать, кроме форматирования-переустановки?

И чем бы проверить остальные компы в локалке, чтобы удостовериться, что там - чисто (пока выглядит именно так), помимо установленного Microsoft Security Essentials.

Архив с логами AutoLogger и тектовое послание прилагаю.

@Sandor · 06.06.2017, 16:46

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Иван Тереньтев. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.

Образец зашифрованного файла упакуйте и прикрепите к следующему сообщению.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Иван Тереньтев · 06.06.2017, 17:05 **[ТС]**

Прилагаю файлы.

@Иван Тереньтев · 06.06.2017, 17:46 **[ТС]**

В архиве пара шифрованный - нешифрованный

@Sandor · 07.06.2017, 08:53

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
Start::
CreateRestorePoint:
Startup: C:\Users\HubAdmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2016-02-09] ()
2016-08-08 06:07 - 2016-02-09 04:31 - 0000427 _____ () C:\Users\HubAdmin\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2016-08-08 06:07 - 2016-02-09 04:31 - 0000427 _____ () C:\ProgramData\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Иван Тереньтев · 07.06.2017, 17:23 **[ТС]**

Добрый день,
прилагаю.

@Sandor · 08.06.2017, 08:55

Скачайте Decryptor for the Xorist.
В ту же папку поместите пару - зашифрованный файл и его незашифрованный оригинал.
Выделите оба файла и перетащите их мышкой на утилиту. Начнется подбор ключа, это может занять 2-3 часа.
При успешном результате утилита об этом сообщит. Нажмите ОК, в следующем окне нажмите Decrypt.

@Иван Тереньтев · 09.06.2017, 01:30 **[ТС]**

Всё так и сделал - получил на компе ключ, перенес с дешифратором на пострадавший, раскриптовал всё.
Большое человеческое спасибо.
Как бы теперь с гарантией защититься от подобного? Читал, что по RDP ломятся. Смена пароля на сложный решит?

@Sandor · 09.06.2017, 08:07

Сообщение от Иван Тереньтев

Смена пароля на сложный

Обязательно. Затем:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Новые блоги и статьи Все статьи Все блоги /
сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .
Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и источниками (напряжения, ЭДС и тока). Найти токи и напряжения во всех элементах. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и. . .

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,752
	06.06.2017, 16:46
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя Иван Тереньтев. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ________________________________________ ______________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Code begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RebootWindows(false); end. Компьютер перезагрузится. Образец зашифрованного файла упакуйте и прикрепите к следующему сообщению. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,752
	08.06.2017, 08:55
	Скачайте Decryptor for the Xorist. В ту же папку поместите пару - зашифрованный файл и его незашифрованный оригинал. Выделите оба файла и перетащите их мышкой на утилиту. Начнется подбор ключа, это может занять 2-3 часа. При успешном результате утилита об этом сообщит. Нажмите ОК, в следующем окне нажмите Decrypt. 1

@Иван Тереньтев 0 / 0 / 0 Регистрация: 06.06.2017 Сообщений: 5
	09.06.2017, 01:30 [ТС]
	Всё так и сделал - получил на компе ключ, перенес с дешифратором на пострадавший, раскриптовал всё. Большое человеческое спасибо. Как бы теперь с гарантией защититься от подобного? Читал, что по RDP ломятся. Смена пароля на сложный решит? 0