В пятницу обнаружили что зашифровали файлы на сервере - взломали через рдп. Велась переписка с вредителями, за 3 килорубля был получен пароль, но после ввода пароля ушло расширение файла *.LOCKED, а файлы так и не открываются.
В пятницу обнаружили что зашифровали файлы на сервере - взломали через рдп. Велась переписка с вредителями, за 3 килорубля был получен пароль, но после ввода пароля ушло расширение файла *.LOCKED, а файлы так и не открываются.
Уважаемый(ая) [B]Cmeiiiapa[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Прикрепляю файлы до расшифровки
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Файлы после расшифровки
Здравствуйте! [QUOTE]Велась переписка с вредителями, за 3 килорубля был получен пароль[/QUOTE]
Зря кормите их у них достаточно кривые дешифраторы, которые в некоторых случаях могут и покалечить файлы.
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\windows\srchasst\mui\wscnrfy.exe');
TerminateProcessByName('c:\windows\system32\wmosrvse.exe');
TerminateProcessByName('c:\windows\ehome\wmisrv.exe');
TerminateProcessByName('c:\windows\mui\svchost.exe');
TerminateProcessByName('c:\windows\amsql.exe');
TerminateProcessByName('c:\windows\system32\gptsvc.exe');
SetServiceStart('bthserv', 4);
StopService('bthserv');
QuarantineFile('C:\WINDOWS\system32\cmdo.vbs','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\checkupdate.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\wiupdat.exe','');
QuarantineFile('c:\windows\srchasst\mui\wscnrfy.exe','');
QuarantineFile('c:\windows\system32\wmosrvse.exe','');
QuarantineFile('c:\windows\ehome\wmisrv.exe','');
QuarantineFile('c:\windows\mui\svchost.exe','');
QuarantineFile('c:\relaytcp10\retcpsvc.exe','');
QuarantineFile('c:\windows\amsql.exe','');
QuarantineFile('c:\windows\system32\gptsvc.exe','');
DeleteFile('c:\windows\system32\gptsvc.exe','32');
DeleteFile('c:\windows\amsql.exe','32');
DeleteFile('c:\windows\ehome\wmisrv.exe','32');
DeleteFile('c:\windows\system32\wmosrvse.exe','32');
DeleteFile('c:\windows\srchasst\mui\wscnrfy.exe','32');
DeleteFile('C:\WINDOWS\mui\svchost.exe','32');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\wiupdat.exe','32');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\checkupdate.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','explorer');
DeleteService('bthserv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
end.
[/CODE]
Перезагрузите сервер вручную. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
[CODE]
O4 - HKCU\..\Run: [explorer] C:\DOCUME~1\9335~1\LOCALS~1\Temp\1\wiupdat.exe
[/CODE]
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]
Логи
А третий лог где?
Я его вместо карантина отправил) сорри
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Залил и карантин
[LIST=1][*]Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE]
;uVS v3.84.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v384c
breg
delall %SystemDrive%\DOCUMENTS AND SETTINGS\GLYAVINA\APPLICATION DATA\AZLIO\GYXYE.EXE
delall %SystemRoot%\JAVA\TRUSTLIB\SDPS.BAT
delall %SystemRoot%\MICROSOFT.NET\NET.AJAX.BAT
unload %SystemRoot%\EHOME\WMISRV.EXE
delall %SystemRoot%\EHOME\WMISRV.EXE
delall %SystemDrive%\WINDOW5\SYSTEM32\SAFESURF.EXE
delall %SystemDrive%\WINDOW5\SYSTEM32\SURFGUARD.EXE
zoo %SystemRoot%\APPPATCH\RU-US\SVVHOST.EXE
delall %SystemRoot%\APPPATCH\RU-US\SVVHOST.EXE
zoo %SystemRoot%\APPPATCH\RU-US\WASPPACER.EXE
delall %SystemRoot%\APPPATCH\RU-US\WASPPACER.EXE
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\GLYAVINA\APPLICATION DATA\AZLIO
czoo
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.[*]После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "[b]Прислать запрошенный карантин[/b]" над над первым сообщением в теме.[/LIST]
Сделайте новый лог uVS.
[url]http://rghost.ru/58784999[/url]
[LIST=1][*]Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE]
;uVS v3.84.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v384c
breg
unload %SystemRoot%\EHOME\WMISRV.EXE
delall %SystemRoot%\EHOME\WMISRV.EXE
delall %SystemDrive%\WINDOW5\SYSTEM32\SAFESURF.EXE
delall %SystemDrive%\WINDOW5\SYSTEM32\SURFGUARD.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\TEST\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
delall %SystemRoot%\SRCHASST\MUI\UTP.BAT
delall %Sys32%\DHCP\DNS.BAT
delall %Sys32%\DRIVERS\ALT.BAT
czoo
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы. Перезагрузите сервер вручную.[*]После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "[b]Прислать запрошенный карантин[/b]" над над первым сообщением в теме.[/LIST]
Сделайте новый лог uVS.
Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]
Учетка, которую (предположительно) взломали, по глупости была удалена. "Бизнесмены" прислали два шифратора и пароль
Жалко что вы кормите этих дармоедов у нас расшифровка тоже есть. Просто выдам я ее поздней когда дочистим сервер от вирусов.
Мы один раз заплатили, до обращения к вам) второй шифратор они нам выслали так, когда сказали что первый не сработал.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Лог
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Архива не появилось в папке
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
новый лог uvs
[url]http://rghost.ru/58789904[/url]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Лог MBAM
[url]http://rghost.ru/private/58791850/e3dead5a328b5da8e07df63b8ce82ad6[/url]
[url=http://virusinfo.info/showthread.php?t=53070]Удалите в MBAM[/url] все, [B][COLOR="#0000FF"]кроме[/COLOR][/B]:
[CODE]
Обнаруженные файлы:
D:\Distrib\DameWare NT Utilities 6.8.0.1\keygen.exe (Trojan.Downloader) -> Действие не было предпринято.
D:\Distrib\Терминал под XP\TS-Free-1.1_cs.exe (PUP.Hacktool) -> Действие не было предпринято.
D:\Users\Олег\Alcohol_120__1.9.8.7612___crack\Alcohol 120% 1.9.8.7612 + crack\Alcohol_120__v2.0.0.1331\Alcohol_120__v2.0.0.1331.exe (Trojan.Dropped) -> Действие не было предпринято.
D:\Users\Андрей\TeamViewer 9.0.26297 Premium & Enterprise & Corporate + Portable\Patch\teamviewer.9.x.x.corporate-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
D:\Users\Андрей\TeamViewer 9.0.26297 Premium & Enterprise & Corporate + Portable\Patch\teamviewer.9.x.x.premium-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
D:\Users\Андрей\TeamViewer 9.0.26297 Premium & Enterprise & Corporate + Portable\Patch\teamviewer.9.x.x.server.enterprise-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
D:\Программы\Radmin 3.4\keymaker.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
C:\WINDOWS\system32\srvany.exe (Trojan.Onlinegames) -> Действие не было предпринято.
[/CODE]
Смените все пароли.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Новый лог MBAM, srvany все равно удалил, хотя галку я снял
[INFORMATION]
[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашим файлам.
Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].
Скачайте [URL="http://download.geo.drweb.com/pub/drweb/tools/te94decrypt.exe"]te94decrypt.exe[/URL] и сохраните [B][COLOR="#0000CD"]в корень диска С[/COLOR][/B].
В командной строке введите:
[code]C:\te94decrypt.exe -k 479[/code]
[B][COLOR="#FF0000"]Внимание!!![/COLOR][/B]
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет
2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались[/INFORMATION]
Он расшифровавывает файлы только с расширением .LOCKED?
[QUOTE=Cmeiiiapa;1181386]Он расшифровавывает файлы только с расширением .LOCKED?[/QUOTE]
А что есть другие зашифрованные файлы с другим расширением?
Нет, изначально файлы базы 1С .dbf были без расширения
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
с dbf вроде разобрался - еще раз если присвоить расширение .LOCKED, то он расшифровывает до конца (по крайней мере структура файла нормальная), но база все равно не открывается. Но вот с файлами .xlsx это не проходит. Может я пришлю вам пару файлов MS Office?
Если уже чем-то пытались расшифровать файлы, то вы могли покалечить себе файлы таким образом, что их восстановить уже наверное не получится.
[QUOTE]Может я пришлю вам пару файлов MS Office?[/QUOTE]
Присылайте.