Вирус шифровальщик зашифровал базу MSSQL Server 2008 и бэкапы

@RomzesRomzes · Регистрация: 07.12.2018

Author24 — интернет-сервис помощи студентам

Помогите расшифровать.
Почта вымогателя PREDSEDATEL@TUTAMAIL.COM

расширения файлов .@#S%^&-().1-C

@Sandor · 07.12.2018, 12:06

Здравствуйте!

С расшифровкой не обещаем, но очистить активную угрозу и хвосты поможем.

Внимание! Рекомендации написаны специально для пользователя RomzesRomzes. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Admin2\AppData\Local\Mozilla\bodKXMti.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Mozilla\bodKXMti.exe', '');
 QuarantineFile('C:\Users\АлинаМокеева\AppData\Local\Temp\wFaTgNWv.exe', '');
 QuarantineFile('C:\Users\АлинаМокеева\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk', '');
 QuarantineFile('C:\Users\Анатолий\AppData\Local\VirtualStore\IVWPQxCj.exe', '');
 QuarantineFile('C:\Users\ВераЛеонова\AppData\Local\1C\OnIVOrQJ.exe', '');
 QuarantineFile('C:\Users\ВикаШаповалова\AppData\Local\1C\OnIVOrQJ.exe', '');
 QuarantineFile('C:\Users\ДмитрийРоманов\AppData\Local\Temp\wFaTgNWv.exe', '');
 QuarantineFile('C:\Users\Екатерина\AppData\Local\Microsoft\wRqbwRiP.exe', '');
 QuarantineFile('C:\Users\ИванМолчанов\AppData\Local\VirtualStore\IVWPQxCj.exe', '');
 QuarantineFile('C:\Users\НаталияБереснева\AppData\Local\VirtualStore\IVWPQxCj.exe', '');
 QuarantineFile('C:\Users\НаталияЛях\AppData\Local\VirtualStore\IVWPQxCj.exe', '');
 QuarantineFile('C:\Users\Роман\AppData\Local\Microsoft\wRqbwRiP.exe', '');
 DeleteFile('C:\Users\Admin2\AppData\Local\Mozilla\bodKXMti.exe', '64');
 DeleteFile('C:\Users\Администратор\AppData\Local\Mozilla\bodKXMti.exe');
 DeleteFile('C:\Users\Администратор\AppData\Local\Mozilla\bodKXMti.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
 DeleteFile('C:\Users\АлинаМокеева\AppData\Local\Temp\wFaTgNWv.exe');
 DeleteFile('C:\Users\АлинаМокеева\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
 DeleteFile('C:\Users\АлинаТищенко\AppData\Local\Mozilla\bodKXMti.exe');
 DeleteFile('C:\Users\АлинаТищенко\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
 DeleteFile('C:\Users\Анатолий\AppData\Local\VirtualStore\IVWPQxCj.exe');
 DeleteFile('C:\Users\Анатолий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
 DeleteFile('C:\Users\ВераЛеонова\AppData\Local\1C\OnIVOrQJ.exe');
 DeleteFile('C:\Users\ВераЛеонова\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
 DeleteFile('C:\Users\ВикаШаповалова\AppData\Local\1C\OnIVOrQJ.exe');
 DeleteFile('C:\Users\ВикаШаповалова\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
 DeleteFile('C:\Users\ДмитрийРоманов\AppData\Local\Temp\wFaTgNWv.exe');
 DeleteFile('C:\Users\ДмитрийРоманов\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
 DeleteFile('C:\Users\Екатерина\AppData\Local\Microsoft\wRqbwRiP.exe');
 DeleteFile('C:\Users\Екатерина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
 DeleteFile('C:\Users\ИванМолчанов\AppData\Local\VirtualStore\IVWPQxCj.exe');
 DeleteFile('C:\Users\ИванМолчанов\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
 DeleteFile('C:\Users\НаталияБереснева\AppData\Local\VirtualStore\IVWPQxCj.exe');
 DeleteFile('C:\Users\НаталияБереснева\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
 DeleteFile('C:\Users\НаталияЛях\AppData\Local\VirtualStore\IVWPQxCj.exe');
 DeleteFile('C:\Users\НаталияЛях\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
 DeleteFile('C:\Users\Роман\AppData\Local\Microsoft\wRqbwRiP.exe');
 DeleteFile('C:\Users\Роман\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JWnotKXE.lnk');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-894021001-512919902-4224240697-500\Software\Microsoft\Windows\CurrentVersion\Run', 'JWnotKXE', 'x32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-894021001-512919902-4224240697-500\Software\Microsoft\Windows\CurrentVersion\Run', 'JWnotKXE', 'x64');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

После перезагрузки, выполните такой скрипт:

Код

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!

"Пофиксите" в HijackThis:

Код

O7 - TroubleShooting: (EV) HKU\S-1-5-21-894021001-512919902-4224240697-1013\..\Environment: [TEMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-894021001-512919902-4224240697-1013\..\Environment: [TMP] = (not exist)

Подготовьте новый CollectionLog.
Текстовый (или html) файл с требованием выкупа вместе с парой небольших зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

@RomzesRomzes · 07.12.2018, 12:55 **[ТС]**

В HijackThis нет таких строк, вот есть такие

@RomzesRomzes · 07.12.2018, 12:58 **[ТС]**

Вот архив с файлом обратной связи и пара зашифрованных файлов

@Sandor · 07.12.2018, 13:14

Сообщение от RomzesRomzes

В HijackThis нет таких строк

Утилиту следует запускать из папки Автологера:

C:\Users\Admin2\Desktop\AutoLogger\HiJackThis\HiJackThis.exe

@RomzesRomzes · 07.12.2018, 13:33 **[ТС]**

да, я оттуда и запускал, выдает то же самое

@Sandor · 07.12.2018, 13:37

Хорошо, делайте повторный CollectionLog.

@RomzesRomzes · 07.12.2018, 14:07 **[ТС]**

прикрепил

@Sandor · 07.12.2018, 14:14

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@RomzesRomzes · 07.12.2018, 14:29 **[ТС]**

Farbar Recovery

@Sandor · 07.12.2018, 15:01

Вынужден огорчить, это RotorCrypt и расшифровки для него нет.

Предположу, что попали к вам путем подмены файла C:\Windows\system32\sethc.exe на cmd.exe

Для возврата оригинального воспользуйтесь этим скриптом.

@RomzesRomzes · 09.12.2018, 01:10 **[ТС]**

Антивирус выявил
trojan-ransom.win32.encoder.atd

@Sandor 22306 / 15787 / 3051 Регистрация: 08.10.2012 Сообщений: 64,196
	07.12.2018, 15:01	11
	Вынужден огорчить, это RotorCrypt и расшифровки для него нет. Предположу, что попали к вам путем подмены файла C:\Windows\system32\sethc.exe на cmd.exe Для возврата оригинального воспользуйтесь этим скриптом. 0

Новые блоги и статьи
Счётчик на базе сумматоров + регистров и генератора сигналов согласования. Hrethgir 07.01.2025 Создан с целью проверки скорости асинхронной логики: ранее описанного сумматора и предополагаемых fast регистров. Регистры созданы на базе ранее описанного, предполагаемого fast триггера. То-есть. . .	Как перейти с Options API на Composition API в Vue.js BasicMan 06.01.2025 Почему переход на Composition API актуален В мире современной веб-разработки фреймворк Vue. js продолжает эволюционировать, предлагая разработчикам все более совершенные инструменты для создания. . .	Архитектура современных процессоров inter-admin 06.01.2025 Процессор (центральный процессор, ЦП) является основным вычислительным устройством компьютера, которое выполняет обработку данных и управляет работой всех остальных компонентов системы. Архитектура. . .	История создания реляционной модели баз данных, правила Кодда Programming 06.01.2025 Предпосылки создания реляционной модели В конце 1960-х годов компьютерная индустрия столкнулась с серьезными проблемами в области управления данными. Существовавшие на тот момент модели данных -. . .	Полезные поделки на Arduino, которые можно сделать самому raxper 06.01.2025 Arduino как платформа для творчества Arduino представляет собой удивительную платформу для технического творчества, которая открывает безграничные возможности для создания уникальных проектов. Эта. . .	Подборка решений задач на Python IT_Exp 06.01.2025 Целью данной подборки является предоставление возможности ознакомиться с различными задачами и их решениями на Python, что может быть полезно как для начинающих, так и для опытных программистов. . . .
С чего начать программировать микроконтроллеры raxper 06.01.2025 Введение в мир микроконтроллеров Микроконтроллеры стали неотъемлемой частью современного мира, окружая нас повсюду: от простых бытовых приборов до сложных промышленных систем. Эти маленькие. . .	Из чего собрать игровой компьютер inter-admin 06.01.2025 Сборка игрового компьютера требует особого внимания к выбору комплектующих и их совместимости. Правильно собранный игровой ПК не только обеспечивает комфортный геймплей в современных играх, но и. . .	Обновление сайта www.historian.by Reglage 05.01.2025 Обещал подвести итоги 2024 года для сайта. Однако начну с того, что изменилось за неделю. Добавил краткий урок по последовательности действий при анализе вредоносных файлов и значительно улучшил урок. . .	Как использовать GraphQL в C# с HotChocolate Programming 05.01.2025 GraphQL — это современный подход к разработке API, который позволяет клиентам запрашивать только те данные, которые им необходимы. Это делает взаимодействие с API более гибким и эффективным по. . .	Модель полного двоичного сумматора с помощью логических операций (python) AlexSky-coder 04.01.2025 def binSum(x:list, y:list): s=^y] p=x and y for i in range(1,len(x)): s. append((x^y)^p) p=(x and y)or(p and (x or y)) return s x=list() y=list()	Это мы не проходили, это нам не задавали...(асихронный счётчик с управляющим сигналом зад Hrethgir 04.01.2025 Асинхронный счётчик на сумматорах (шестиразрядный по числу диодов на плате, но наверное разрядов будет больше - восемь или шестнадцать, а диоды на старшие), так как триггеры прошли тестирование и. . .

@RomzesRomzes 0 / 0 / 0 Регистрация: 07.12.2018 Сообщений: 7
	07.12.2018, 12:55 [ТС]	3
	В HijackThis нет таких строк, вот есть такие Миниатюры 0

@Sandor 22306 / 15787 / 3051 Регистрация: 08.10.2012 Сообщений: 64,196
	07.12.2018, 13:14	5
	Сообщение от RomzesRomzes В HijackThis нет таких строк Утилиту следует запускать из папки Автологера: C:\Users\Admin2\Desktop\AutoLogger\HiJackThis\HiJackThis.exe 0

@RomzesRomzes 0 / 0 / 0 Регистрация: 07.12.2018 Сообщений: 7
	07.12.2018, 13:33 [ТС]	6
	да, я оттуда и запускал, выдает то же самое 0

@Sandor 22306 / 15787 / 3051 Регистрация: 08.10.2012 Сообщений: 64,196
	07.12.2018, 13:37	7
	Хорошо, делайте повторный CollectionLog. 0

@Sandor 22306 / 15787 / 3051 Регистрация: 08.10.2012 Сообщений: 64,196
	07.12.2018, 14:14	9
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@RomzesRomzes 0 / 0 / 0 Регистрация: 07.12.2018 Сообщений: 7
	09.12.2018, 01:10 [ТС]	12
	Антивирус выявил trojan-ransom.win32.encoder.atd 0