В пятницу обнаружили что зашифровали файлы на сервере - взломали через рдп. Велась переписка с вредителями, за 3 килорубля был получен пароль, но после ввода пароля ушло расширение файла *.LOCKED, а файлы так и не открываются.
В пятницу обнаружили что зашифровали файлы на сервере - взломали через рдп. Велась переписка с вредителями, за 3 килорубля был получен пароль, но после ввода пароля ушло расширение файла *.LOCKED, а файлы так и не открываются.
Уважаемый(ая) Cmeiiiapa, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Прикрепляю файлы до расшифровки
- - - - -Добавлено - - - - -
Файлы после расшифровки
Здравствуйте!Зря кормите их у них достаточно кривые дешифраторы, которые в некоторых случаях могут и покалечить файлы.Велась переписка с вредителями, за 3 килорубля был получен пароль
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\windows\srchasst\mui\wscnrfy.exe'); TerminateProcessByName('c:\windows\system32\wmosrvse.exe'); TerminateProcessByName('c:\windows\ehome\wmisrv.exe'); TerminateProcessByName('c:\windows\mui\svchost.exe'); TerminateProcessByName('c:\windows\amsql.exe'); TerminateProcessByName('c:\windows\system32\gptsvc.exe'); SetServiceStart('bthserv', 4); StopService('bthserv'); QuarantineFile('C:\WINDOWS\system32\cmdo.vbs',''); QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\checkupdate.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\wiupdat.exe',''); QuarantineFile('c:\windows\srchasst\mui\wscnrfy.exe',''); QuarantineFile('c:\windows\system32\wmosrvse.exe',''); QuarantineFile('c:\windows\ehome\wmisrv.exe',''); QuarantineFile('c:\windows\mui\svchost.exe',''); QuarantineFile('c:\relaytcp10\retcpsvc.exe',''); QuarantineFile('c:\windows\amsql.exe',''); QuarantineFile('c:\windows\system32\gptsvc.exe',''); DeleteFile('c:\windows\system32\gptsvc.exe','32'); DeleteFile('c:\windows\amsql.exe','32'); DeleteFile('c:\windows\ehome\wmisrv.exe','32'); DeleteFile('c:\windows\system32\wmosrvse.exe','32'); DeleteFile('c:\windows\srchasst\mui\wscnrfy.exe','32'); DeleteFile('C:\WINDOWS\mui\svchost.exe','32'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\wiupdat.exe','32'); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\checkupdate.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','explorer'); DeleteService('bthserv'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)Код:O4 - HKCU\..\Run: [explorer] C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\wiupdat.exe
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.- Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Логи
А третий лог где?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Я его вместо карантина отправил) сорри
- - - - -Добавлено - - - - -
Залил и карантин
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:;uVS v3.84.1 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 v384c breg delall %SystemDrive%\DOCUMENTS AND SETTINGS\GLYAVINA\APPLICATION DATA\AZLIO\GYXYE.EXE delall %SystemRoot%\JAVA\TRUSTLIB\SDPS.BAT delall %SystemRoot%\MICROSOFT.NET\NET.AJAX.BAT unload %SystemRoot%\EHOME\WMISRV.EXE delall %SystemRoot%\EHOME\WMISRV.EXE delall %SystemDrive%\WINDOW5\SYSTEM32\SAFESURF.EXE delall %SystemDrive%\WINDOW5\SYSTEM32\SURFGUARD.EXE zoo %SystemRoot%\APPPATCH\RU-US\SVVHOST.EXE delall %SystemRoot%\APPPATCH\RU-US\SVVHOST.EXE zoo %SystemRoot%\APPPATCH\RU-US\WASPPACER.EXE delall %SystemRoot%\APPPATCH\RU-US\WASPPACER.EXE deldir %SystemDrive%\DOCUMENTS AND SETTINGS\GLYAVINA\APPLICATION DATA\AZLIO czoo- В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
- После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог uVS.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:;uVS v3.84.1 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 v384c breg unload %SystemRoot%\EHOME\WMISRV.EXE delall %SystemRoot%\EHOME\WMISRV.EXE delall %SystemDrive%\WINDOW5\SYSTEM32\SAFESURF.EXE delall %SystemDrive%\WINDOW5\SYSTEM32\SURFGUARD.EXE del %SystemDrive%\DOCUMENTS AND SETTINGS\TEST\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT delall %SystemRoot%\SRCHASST\MUI\UTP.BAT delall %Sys32%\DHCP\DNS.BAT delall %Sys32%\DRIVERS\ALT.BAT czoo- В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перезагрузите сервер вручную.
- После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог uVS.
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txtКод:%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Учетка, которую (предположительно) взломали, по глупости была удалена. "Бизнесмены" прислали два шифратора и пароль
Жалко что вы кормите этих дармоедов у нас расшифровка тоже есть. Просто выдам я ее поздней когда дочистим сервер от вирусов.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Мы один раз заплатили, до обращения к вам) второй шифратор они нам выслали так, когда сказали что первый не сработал.
- - - - -Добавлено - - - - -
Лог
- - - - -Добавлено - - - - -
Архива не появилось в папке
- - - - -Добавлено - - - - -
новый лог uvs
http://rghost.ru/58789904
- - - - -Добавлено - - - - -
Лог MBAM
http://rghost.ru/private/58791850/e3...7df63b8ce82ad6
Удалите в MBAM все, кроме:
Смените все пароли.Код:Обнаруженные файлы: D:\Distrib\DameWare NT Utilities 6.8.0.1\keygen.exe (Trojan.Downloader) -> Действие не было предпринято. D:\Distrib\Терминал под XP\TS-Free-1.1_cs.exe (PUP.Hacktool) -> Действие не было предпринято. D:\Users\Олег\Alcohol_120__1.9.8.7612___crack\Alcohol 120% 1.9.8.7612 + crack\Alcohol_120__v2.0.0.1331\Alcohol_120__v2.0.0.1331.exe (Trojan.Dropped) -> Действие не было предпринято. D:\Users\Андрей\TeamViewer 9.0.26297 Premium & Enterprise & Corporate + Portable\Patch\teamviewer.9.x.x.corporate-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято. D:\Users\Андрей\TeamViewer 9.0.26297 Premium & Enterprise & Corporate + Portable\Patch\teamviewer.9.x.x.premium-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято. D:\Users\Андрей\TeamViewer 9.0.26297 Premium & Enterprise & Corporate + Portable\Patch\teamviewer.9.x.x.server.enterprise-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято. D:\Программы\Radmin 3.4\keymaker.exe (RiskWare.Tool.HCK) -> Действие не было предпринято. C:\WINDOWS\system32\srvany.exe (Trojan.Onlinegames) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Новый лог MBAM, srvany все равно удалил, хотя галку я снял
Информация
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашим файлам.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Скачайте te94decrypt.exe и сохраните в корень диска С.
В командной строке введите:
Внимание!!!Код:C:\te94decrypt.exe -k 479
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет
2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Он расшифровавывает файлы только с расширением .LOCKED?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Нет, изначально файлы базы 1С .dbf были без расширения
- - - - -Добавлено - - - - -
с dbf вроде разобрался - еще раз если присвоить расширение .LOCKED, то он расшифровывает до конца (по крайней мере структура файла нормальная), но база все равно не открывается. Но вот с файлами .xlsx это не проходит. Может я пришлю вам пару файлов MS Office?
Если уже чем-то пытались расшифровать файлы, то вы могли покалечить себе файлы таким образом, что их восстановить уже наверное не получится.
Присылайте.Может я пришлю вам пару файлов MS Office?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Уважаемый(ая) Cmeiiiapa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.