Дешифровка файлов после шифровальщика cyberfear

@Vladislavkit · Регистрация: 05.03.2024

Author24 — интернет-сервис помощи студентам

Здравствуйте! Уважаемые форумчане, помогите пожалуйста. Ставили браузер на windows server 2019, и споймали шифровальщика. На сервере была база 1С. Зарплату людям платить 7 марта. Очень нужна помощь.

@Sandor · 06.03.2024, 09:55

Здравствуйте!

Файл записки с требованием выкупа тоже в архиве прикрепите к следующему сообщению.

+
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@Vladislavkit · 07.03.2024, 00:05 **[ТС]**

Доброго времени суток. Вредоносный файл был обнаружен и удалён через KVRT, скрин с названием вируса приложил во вложении.

@Sandor · 07.03.2024, 09:29

Пока выясняем тип вымогателя. Расшифровки скорее всего нет.

По вероятности восстановления баз данных обратитесь к S.lab.
(В адресной строке слово resources замените на threads)
Это не посредники вымогателей.

Сделаем некоторую очистку системы:

Внимание! Рекомендации написаны специально для пользователя Vladislavkit. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Folder: C:\LockBIT
FirewallRules: [{BBD942FC-140A-4E15-9FD0-D7AED0FF20F7}] => (Allow) LPort=9009
FirewallRules: [{85A0E616-39FC-4160-9141-296DB639C5AB}] => (Allow) LPort=9009
FirewallRules: [{8C797350-C5A2-4EEA-BF24-0F22208E475D}] => (Allow) LPort=9009
FirewallRules: [{5CD49B71-1E02-40AB-8C17-CDCBE9D53D78}] => (Allow) LPort=9009
FirewallRules: [{497F3707-99D3-4B60-B650-7B95AAB18E67}] => (Allow) LPort=9009
FirewallRules: [{3BCFF593-F06C-425E-AA46-194AF2306741}] => (Allow) LPort=9009
FirewallRules: [{77AE8C8A-9D0D-4C19-907C-DC6C11B92462}] => (Allow) LPort=9009
FirewallRules: [{406EC170-91A4-42F0-AA24-8D57D17DA40F}] => (Allow) LPort=9009
FirewallRules: [{388DF69E-11B7-4862-81F6-78C0023AD29F}] => (Allow) LPort=9009
FirewallRules: [{89B2192D-8B71-432A-B124-9F7F0BC4F1C7}] => (Allow) LPort=9009
FirewallRules: [{6092BD5F-CE55-43D7-99DE-263C45EE89AD}] => (Allow) LPort=9009
FirewallRules: [{C98FA41B-7E0D-4C3D-BBB1-B2958110C7C0}] => (Allow) LPort=9009
FirewallRules: [{7FB322A8-3B1A-4AB7-AA1D-D452041F0C9E}] => (Allow) LPort=9009
FirewallRules: [{E72DC3B0-940E-4533-9029-54DC0BD02489}] => (Allow) LPort=9009
FirewallRules: [{66D6D30B-3755-4363-9585-215FC581CF9D}] => (Allow) LPort=9009
FirewallRules: [{7DF8044C-B022-41C6-ACDA-995CA1461609}] => (Allow) LPort=9009
FirewallRules: [{AD699AC7-370E-4D8C-8192-80B6DD73CAE7}] => (Allow) LPort=9009
FirewallRules: [{96BDE6F1-B378-416F-B05F-033B6D63B1DE}] => (Allow) LPort=9009
FirewallRules: [{24500EFA-15E5-4E77-9030-8401B925274A}] => (Allow) LPort=9009
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Пароли администраторов смените, могли быть взломаны.

@Vladislavkit · 07.03.2024, 22:01 **[ТС]**

Файл лога прикрепляю

@Sandor · 08.03.2024, 19:31

Определить тип вымогателя пока не получается. Но скажу сразу, расшифровки скорее всего нет.

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,089
	06.03.2024, 09:55	2
	Здравствуйте! Файл записки с требованием выкупа тоже в архиве прикрепите к следующему сообщению. + Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,089
	08.03.2024, 19:31	6
	Определить тип вымогателя пока не получается. Но скажу сразу, расшифровки скорее всего нет. 0