Показано с 1 по 14 из 14.

Поймал вирус/шифровальщик с окончанием base1c1c1c@gmail.com-ver-4.0.0.0.cbf (заявка № 181302)

  1. #1
    Junior Member Репутация
    Регистрация
    03.04.2015
    Сообщений
    13
    Вес репутации
    7

    Поймал вирус/шифровальщик с окончанием base1c1c1c@gmail.com-ver-4.0.0.0.cbf

    Здравствуйте. Поймал на сервере вирус/шифровальщик, который зашифровал и добавил расширение файлам. Теперь файлы имеют вид: document.doc.id-{...}-email-base1c1c1c@gmail.com-ver-4.0.0.0.cbf Инструкцию и запрос оформляю, но пока вопрос:
    1) существовали случаи выздоровления к этой версии шифровальщика ?
    2) На сколько сложно и долго делать лечение, просто есть бэкапы 1С, а папки пользователей не зашифрованы, то может сразу проще переустановить Windows server (т.к. пользователей там сейчас не много)?
    Последний раз редактировалось Артем83; 06.04.2015 в 10:00.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,265
    Вес репутации
    327
    Уважаемый(ая) Артем83, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,827
    Вес репутации
    780
    Сделайте логи по правилам.

    Переустанавливать Windows server не нужно, необходимо удалить шифровальщик и настроить безопасность.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    03.04.2015
    Сообщений
    13
    Вес репутации
    7
    Логи
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,827
    Вес репутации
    780
    Выполните скрипт в AVZ:
    Код:
    begin
     DeleteService('nxuverxrk');
     DeleteService('qrlnq');
     DeleteService('pjfrbzyx');
     DeleteService('bszkpm');
    end.
    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    03.04.2015
    Сообщений
    13
    Вес репутации
    7
    Образ после выполнения скрипта
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,827
    Вес репутации
    780
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.85.13 http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    v385c
    del %SystemDrive%\DOCUMENTS AND SETTINGS\ОХРАНА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-{LFNDYARITSKBBTKOQHKCEHZQEVNESWNETKBS-03.04.2015 0@34@094848544}-EMAIL-BASE1C1C1C@GMA...ER-4.0.0.0.CBF
    delref %SystemDrive%\PROGRAM FILES\1CV82\COMMON\1CESTART.EXE.ID-{LFNDYARITSKBBTKOQHKCEHZQEVNESWNETKBS-03.04.2015 0@34@094848544}-EMAIL-BASE1C1C1C@GMA....0.0.0.CBF.EXE
    delref %Sys32%\05.TMP
    del %SystemDrive%\PROGRAM FILES\1CV82\COMMON\1CESTART.EXE.ID-{LFNDYARITSKBBTKOQHKCEHZQEVNESWNETKBS-03.04.2015 0@34@094848544}-EMAIL-BASE1C1C1C@GMA....0.0.0.CBF.EXE
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\EGOR\WINDOWS\TEMP\JF-UTILITY.EXE
    delref AUTORUN.PIF
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\WINDOWS\APPLICATION\JF-UTILITY.EXE
    Пошифровало, похоже, всё, включая приложения.

    Восстанавливайте из резервных копий, переустанавливайте программы.

    Часть зашифрованного, возможно, удастся восстановить по сети в свойствах расшаренных папок на вкладке "предыдущие версии".
    Базы 1С в некоторых случаях успешно чинятся утилитой проверки и восстановления.

    Смените пароли на учётки с администраторскими правами и у пользователей, имеющих доступ по RDP, у кого админские права были не по делу - отобрать не обращая внимания на вопли. Для 99% программ проблемы с работой под пользователем без прав администратора решаются изменением прав безопасности на соответствующие папки и ветки реестра.

    MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.

    Проверьте разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.

    Установите все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.

    Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    На мой взгляд, лучше вообще запретить пользователям (да и админам без особой надобности тоже) выходить в интернет с сервера, скачивать, устанавливать и запускать программы, браузеры, это повышает вероятность взлома на порядок. Пользователь должен выходить в интернет со своего компьютера. Политики безопасности для того и существуют.
    WBR,
    Vadim

  9. Vvvyg получил(а) благодарность за это сообщение от


  10. #8
    Junior Member Репутация
    Регистрация
    03.04.2015
    Сообщений
    13
    Вес репутации
    7
    При выполнение скрипты выдало ошибку:
    Ошибка: 'BEGIN' expected в позиции 1:1
    Так же вопрос по поводу вашей фразы: "Пошифровало, похоже, всё, включая приложения.

    Восстанавливайте из резервных копий, переустанавливайте программы."
    Это означает что расшифровать нет шансов и не стоит? Делай как написано!

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,827
    Вес репутации
    780
    Цитата Сообщение от Артем83 Посмотреть сообщение
    При выполнение скрипты выдало ошибку:
    Ошибка: 'BEGIN' expected в позиции 1:1
    Перечитайте, в какой программе надо выполнить скрипт.

    Цитата Сообщение от Артем83 Посмотреть сообщение
    Восстанавливайте из резервных копий, переустанавливайте программы."
    Это означает что расшифровать нет шансов и не стоит?
    Да, не обращаясь к вымогателю, пока без шансов.
    WBR,
    Vadim

  12. #10
    Junior Member Репутация
    Регистрация
    03.04.2015
    Сообщений
    13
    Вес репутации
    7
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Перечитайте, в какой программе надо выполнить скрипт.
    Виноват. Файл отправлен согласно инструкции
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Да, не обращаясь к вымогателю, пока без шансов.
    Жду окончательного вашего вердикта и тогда буду действовать согласно него.

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,827
    Вес репутации
    780
    Считайте, что вердикт окончательный. Вариант расшифровки если и появится, то когда файлы будут уже неактуальны.
    WBR,
    Vadim

  14. #12
    Junior Member Репутация
    Регистрация
    03.04.2015
    Сообщений
    13
    Вес репутации
    7
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Считайте, что вердикт окончательный. Вариант расшифровки если и появится, то когда файлы будут уже неактуальны.
    Спасибо за помощь и отведенное время, но у меня последний вопрос эта зараза после восстановления из бэкапов и удаления видимых зашифрованных файлов, живет еще в системе она вообще, на сколько её стоит опасаться? или ее один раз активировали, повторно возможно только если новое письмо не прилетит или повторно через дырку не вольют?

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,827
    Вес репутации
    780
    Активного шифровальщика в системе нет, они обычно самоуничтожаются, сделав своё дело.
    По безопасности рекомендации дал выше.
    WBR,
    Vadim

  16. Vvvyg получил(а) благодарность за это сообщение от


  17. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,560
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Артем83, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Вирус-шифровальщик email-base1c1c1c@gmail.com-ver-4.0.0.0
      От LookingBal в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.03.2015, 22:27
    2. Ответов: 4
      Последнее сообщение: 21.01.2015, 15:10
    3. Ответов: 4
      Последнее сообщение: 23.10.2014, 13:02
    4. Шифровальщик файлов от base1c1c1c@gmail.com
      От Kupava в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.10.2014, 19:02
    5. Ответов: 2
      Последнее сообщение: 04.07.2014, 15:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00364 seconds with 22 queries