ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ ЧТОБЫ ИХ РАСШИФРОВАТЬ НАПИШИТЕ НАМ НА [email protected] [Trojan.BAT.Agent.aqo
]
Многие файлы были зашифрованы. Больше всего волнуют базы 1С. Резервные файлы хранились в отдельной папке и автоматом выкладывались на Яндекс-Диск. Везде ВСЕ зашифровано. Пока не могу понять откуда пошла зараза - с КОМПЬЮТЕРА на Яндекс-Диск или ИЗ Яндекс-Диск на компьютер.
Получил вот такое письмо, вернее файл нашел в Документа
"КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt"
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
ЧТОБЫ ИХ РАСШИФРОВАТЬ
НАПИШИТЕ НАМ НА [email protected]
В СООБЩЕНИИ УКАЖИТЕ IP АДРЕСС КОМПЬЮТЕРА
НА КОТОРОМ УВИДЕЛИ ЭТО СООБЩЕНИЕ
ЕГО ВЫ СМОЖЕТЕ УЗНАТЬ НА 2ip.ru
МЫ ОТВЕТИМ ВАМ В ТЕЧЕНИИ 24 ЧАСОВ
Помогите расшифровать файлы
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) gost13, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Сбрутили Ваш сервер и зашли по RDP. Меняйте пароль.
Файлы скорее будут заархивированы с паролем, чем зашифрованы.
Выполните скрипт в AVZ
Код:
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WindowsDrivers.exe','');
DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WindowsDrivers.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузку компьютера сделайте вручную.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением темы.
Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
[/code]c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением темы.
Это выполнил. Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи[/QUOTE]
А это то же надо сделать? Повторить что и в первом письме, только новые файлы?
- - - - -Добавлено - - - - -
Сообщение от thyrex
Сбрутили Ваш сервер и зашли по RDP. Меняйте пароль.
Файлы скорее будут заархивированы с паролем, чем зашифрованы.
ОЧЕНЬ хочется в это верить :-)
Сбрутить могли только из локалки, так как на нем работают ТОЛЬКО бухгалтеры по RPD. Внешнего IP он не имеет и DDNS не настроен. Я вот только TeanViewer могу иногда заглянуть.
Правда в логах Symantec есть активность из сети по RPD/ На всякий случай скину лог, может чем поможет :-( Смотрю Symantec и сейчас время от времени выбрасывает окошко о блокировки трафика ВНЕШНЕГО IP / Не успеваю посмотреть НА или ИЗ и сам IP, но то что ВНЕШНИЙ - это факт.
Полностью сделать ВСЕ логи не получилось. Делаю все удаленно, через Teaviewer. Аваст отключить ПОЛНОСТЬЮ не получается. Автозагрузку МАКСИМАЛЬНО почистил. Но прт выполнении Стандартного скрипта№2 скрипт до конца не проходит и вылетает. Сделал Стандартный скрипт №3 и
hijackthis.log. Жду дальнейших рекомендаций. Удастся ли декодировать (разархивировать) базы 1С?
- - - - -Добавлено - - - - -
Полностью сделать ВСЕ логи не получилось. Делаю все удаленно, через Teaviewer. Аваст отключить ПОЛНОСТЬЮ не получается. Автозагрузку МАКСИМАЛЬНО почистил. Но прт выполнении Стандартного скрипта№2 скрипт до конца не проходит и вылетает. Сделал Стандартный скрипт №3 и
hijackthis.log. Жду дальнейших рекомендаций. Удастся ли декодировать (разархивировать) базы 1С?
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\____991.exe','');
QuarantineFile('C:\WINDOWS\system32\fiqeypg.dll','');
DeleteFile('C:\WINDOWS\system32\fiqeypg.dll','32');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\____991.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением темы.
Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Я так понимаю что мы полечили источник заразы - компьютер User, но главный вопрос остался открытым: УДАСТЬСЯ ЛИ РАСШИФРОВАТЬ БАЗЫ 1 С? ОЧЕНЬ ЖДУ РЕШЕНИЯ
Разархивировать не поможем. Используемые при архивировании пароли очень длинные
Жаль :-( Тогда хотелось бы уточнить 3 вопроса:
1. Чем архивировали?
2. Я понимаю что зараза попала на сервер по RPD с компьютера User?
3. Возможно ли заражение путем взлома Яндекс-Диска и внедрении заразы при синхронизации? На Яндекс-Диске то же все зашифровано :-(
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: