Зашифровались файлы базы данных 1С и многие другие.Тип: CRYPTED! (.tego) [HEUR:Trojan.Win32.Generic
]
Здравствуйте. Неизвестно по какой причине зашифровались файлы базы данных 1С и многие другие. Тип файла после шифрования: CRYPTED! (.tego). Также появились txt-файлы со следующим содержанием:Внимание! Все Ваши файлы зашифрованы!Чтобы восстановить свои файлы и получить к ним доступ, свяжитесь с нами по email: [email protected]Стоимость расшифровки: 4500 руб.У вас есть 5 попыток ввода кода. При превышении этого количества, все данные необратимо испортятся. Будьте внимательны при вводе кода!Буду очень благодарен за любые советы. Спасибо!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Denik999, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\9335~1\AppData\Local\Temp\1\j4Z0f8b30i96wSx.exe','');
QuarantineFile('C:\Users\9335~1\AppData\Local\Temp\1\Rar$EXa0.994\Activator\w7lxe.exe','');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt','32');
DeleteFile('C:\Users\9335~1\AppData\Local\Temp\1\Rar$EXa0.994\Activator\w7lxe.exe','32');
DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt','32');
DeleteFile('C:\Users\Сергей.WIN-19V1M8RVIAQ.000\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt','32');
DeleteFile('C:\Users\Сергей.WIN-19V1M8RVIAQ.000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt','32');
DeleteFile('C:\Users\9335~1\AppData\Local\Temp\1\j4Z0f8b30i96wSx.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','W7LXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Alcmeter');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
К сожалению, не одной из этих строк4 - HKLM\..\Run: [W7LXE] "C:\Users\9335~1\AppData\Local\Temp\1\Rar$EXa0.994 \Activator\w7lxe.exe" /react /days=0 /method="180+ Days" /iffailed=deleteO4 - HKLM\..\Run: [Alcmeter] C:\Users\9335~1\AppData\Local\Temp\1\j4Z0f8b30i96w Sx.exeне было
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:
;uVS v3.84.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v384c
zoo %SystemDrive%\USERS\ДИМА.WIN-19V1M8RVIAQ\APPDATA\LOCAL\TEMP\J4Z0F8B30I96WSX.EXE
addsgn 9252620A156AC1CCE0AB514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 48 Trojan.Encoder.94 [DrWeb]
zoo %SystemDrive%\USERS\ДИМА.WIN-19V1M8RVIAQ\DESKTOP\TEGO.EXE
bl 66A102D7724EA350DAFDFA8273D0C3E9 7168
delall %SystemDrive%\USERS\ДИМА.WIN-19V1M8RVIAQ\APPDATA\LOCAL\TEMP\J4Z0F8B30I96WSX.EXE
delall %SystemDrive%\USERS\ДИМА.WIN-19V1M8RVIAQ\DESKTOP\TEGO.EXE
zoo %SystemDrive%\USERS\ДИМА.WIN-19V1M8RVIAQ\DESKTOP\WORM.EXE
del %SystemDrive%\USERS\АЛЕКСАНДР.WIN-19V1M8RVIAQ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
del %SystemDrive%\USERS\ВЯЧЕСЛАВ.WIN-19V1M8RVIAQ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
del %SystemDrive%\USERS\ДИМА.WIN-19V1M8RVIAQ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
del %SystemDrive%\USERS\ДИМА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
del %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
del %SystemDrive%\USERS\ЕГОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
del %SystemDrive%\USERS\КУРЬЕР.WIN-19V1M8RVIAQ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
del %SystemDrive%\USERS\КУРЬЕР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
del %SystemDrive%\USERS\СЕРГЕЙ.WIN-19V1M8RVIAQ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
del %SystemRoot%\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\ASPNETMMCEXT\0BD9EDD50C12D7C1ACDD0F48DBF5B410\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
del %SystemRoot%\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\ASPNETMMCEXT\CED110079BE200244F62FFF082B99098\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
del %SystemRoot%\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\MMCEX\2BA1E0DC364086BB399E6201522BED2B\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
del %SystemRoot%\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\MMCEX\5E7C779F0C11983AC0B1CA3CB1DC655F\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
chklst
delvir
czoo
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Сервер перезагрузите вручную.
После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашим файлам.
Внимание!!!
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет
2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: