Зашифрованы базы 1С

С утра на сервере ждал сюрприз в виде зашифрованных баз с расширением .rypto и сообщения
[FONT=arial]"[COLOR=#000000][CENTER]Внимание![/CENTER][/COLOR][/FONT][COLOR=wheat][FONT=arial][COLOR=#000000][FONT=arial][/FONT][/COLOR][COLOR=#000000][FONT=arial]Некоторые Ваши личные и рабочие файлы теперь зашифрованы - это факт. Не волнуйтесь и не паникуйте, уверяем, что восстановить файлы - пара пустяков, нужно лишь следовать нашим советам. [/FONT][/COLOR]
[COLOR=#000000][FONT=arial][/FONT][/COLOR][COLOR=#F26767][COLOR=#000000][FONT=arial]НЕ РЕКОМЕНДУЕТСЯ: [/FONT][/COLOR][/COLOR]
[COLOR=#000000][FONT=arial][/FONT][/COLOR][COLOR=#000000][FONT=arial][/FONT][/COLOR]

[LIST][*][COLOR=#000000][FONT=arial]Проверять компьютер антивирусом [/FONT][/COLOR][*][COLOR=#000000][FONT=arial]Переустанавливать операционную систему [/FONT][/COLOR][*][COLOR=#000000][FONT=arial]Пытаться восстановить данные самостоятельно [/FONT][/COLOR][/LIST]
[COLOR=#000000][FONT=arial][/FONT][/COLOR][COLOR=#000000][FONT=arial][/FONT][/COLOR][COLOR=#000000][FONT=arial]Все вышеперечисленные действия - бесполезная трата времени и сил, а так же реальный риск потерять свои данные навсегда. [/FONT][/COLOR]
[COLOR=#000000][FONT=arial][/FONT][/COLOR][COLOR=#9CFDA8][COLOR=#000000][FONT=arial]ЧТО СЛЕДУЕТ СДЕЛАТЬ: [/FONT][/COLOR][/COLOR]
[COLOR=#000000][FONT=arial][/FONT][/COLOR][COLOR=#000000][FONT=arial][/FONT][/COLOR]

[LIST][*][COLOR=#000000][FONT=arial]Оставить все файлы как есть [/FONT][/COLOR][*][COLOR=#000000][FONT=arial]Отключить антивирус, так как он может случайно удалить дешифратор файлов, который мы Вам пришлём [/FONT][/COLOR][*][COLOR=#000000][FONT=arial]Как можно скорее связаться с нами для покупки пароля расшифровки [/FONT][/COLOR][/LIST]
[COLOR=#000000][FONT=arial][/FONT][/COLOR][COLOR=#000000][FONT=arial][/FONT][/COLOR][COLOR=#000000][FONT=arial]Краткая инструкция: [/FONT][/COLOR]
[COLOR=#000000][FONT=arial][/FONT][/COLOR][COLOR=#000000][FONT=arial][/FONT][/COLOR]

[LIST][*][FONT=arial][COLOR=#000000]Напишите нам электронное письмо по адресу: [/COLOR][EMAIL="[email protected]?subject=%EF%BF%BD%EF%BF%BD%EF%BF%BD%EF%BF%BD%EF%BF%BD%EF%BF%BD%20%EF%BF%BD%EF%BF%BD%20%EF%BF%BD%EF%BF%BD%EF%BF%BD%EF%BF%BD%EF%BF%BD%EF%BF%BD%EF%BF%BD%EF%BF%BD%EF%BF%BD%EF%BF%BD%EF%BF%BD%EF%BF%BD%EF%BF%BD%20%EF%BF%BD%EF%BF%BD%EF%BF%BD%EF%BF%BD%EF%BF%BD%EF%BF%BD&body=%D0%A1%D0%B5%D0%BA%D1%80%D0%B5%D1%82%D0%BD%D1%8B%D0%B9%20%D0%BA%D0%BE%D0%B4:%20FpTovEOAlWQRWAOwKwr5R8KeKxFnmpSYSWjEbR5G+nrGFAf9Ef0Ig3xEk4/pEYPYDk7HZzJ/J9KnQ8d1JgrsIjV0miLItYPslx3jJvB0Qc+9mVv6cbt965Ig3i9iFpSm2DR00YoPt9fO4eMYNOwbSKuelaGSMc3c7By3fyUyGzY="][COLOR=#000000][email protected][/COLOR][/EMAIL][COLOR=#000000] [/COLOR][/FONT][*][COLOR=#000000][FONT=arial]В письме добавьте нижеприведённый секретный код, целиком скопированный из этого файла, либо прикрепите к письму текстовый файл "secret_code.txt", который можно найти в каждой папке с зашифрованными файлами [/FONT][/COLOR][*][COLOR=#000000][FONT=arial]Дополнительные инструкции по оплате и расшифровке Вы получите в ответном письме [/FONT][/COLOR][/LIST]
[COLOR=#000000][FONT=arial][/FONT][/COLOR][COLOR=#000000][FONT=arial][/FONT][/COLOR][COLOR=#000000][FONT=arial]Ваш секретный код : FpTovEOAlWQRWAOwKwr5R8KeKxFnmpSYSWjEbR5G+nrGFAf9Ef0Ig3xEk4/pEYPYDk7HZzJ/J9KnQ8d1JgrsIjV0miLItYPslx3jJvB0Qc+9mVv6cbt965Ig3i9iFpSm2DR00YoPt9fO4eMYNOwbSKuelaGSMc3c7By3fyUyGzY= [/FONT][/COLOR]
[COLOR=#000000][FONT=arial][/FONT][/COLOR][COLOR=#000000][FONT=arial]В качестве доказательства нашей честности мы [B]платно[/B] расшифруем любые 2 файла, которые Вы можете прикрепить в письме. Стоимость расшифровки файлов составляет 50 долларов США. [/FONT][/COLOR]
[COLOR=#000000][FONT=arial][/FONT][/COLOR][COLOR=#000000][FONT=arial][/FONT][/COLOR]
[COLOR=#000000][FONT=arial][/FONT][/COLOR][COLOR=#000000][FONT=arial]Сделайте первый шаг и всё будет хорошо. До скорого."




[/FONT][/COLOR]
[/FONT][/COLOR]

Уважаемый(ая) [B]Владимир Анатольевич[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Антивирусом файлы какие нибудь удаляли?

[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]

Здравствуйте.антивирусом ничего не удаляли,карантин DrWeb пустой. В архиве "desktop" файл "cipher7", предположительно вирус , т.к. дата создания за день до вирусной атаки и на него указал uvs.

[QUOTE]В архиве "desktop" файл "cipher7", предположительно вирус[/QUOTE]
Пароль к архиву какой?

Прошу прощения.0240832

[LIST=1][*]Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE]
;uVS v3.83 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
breg

zoo %SystemDrive%\USERS\USER5\DESKTOP\CIPHER7.EXE
delall %SystemDrive%\USERS\USER5\DESKTOP\CIPHER7.EXE
delall %SystemDrive%\USERS\USER2\APPDATA\ROAMING\UMMS.EXE
czoo
restart
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы. Прошу учесть, что компьютер [B][COLOR="Red"]может быть перезагружен[/COLOR][/B].[*]После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "[b]Прислать запрошенный карантин[/b]" над над первым сообщением в теме.[/LIST]

Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления [B][COLOR="#0000FF"]откажитесь[/COLOR][/B] от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]

Логи сканирования.

[QUOTE]E:\1C Base\Trade_New\Eutron.exe[/QUOTE]
Пришлите согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Не совсем понял "E:\1C Base\Trade_New\Eutron.exe "

Упакуйте этот файл в zip архив с паролем [B]virus[/B] и пришлите по красной ссылке вверху темы.

Вот что ответили из Dr.Web
"Вопрос возможности расшифровки файлов, зашифрованных этим типом энкодера (Trojan.Encoder.814) сейчас изучается аналитиками лаборатории. Не сказать, чтобы вообще без шансов, но вряд ли чего выйдет. Увы. В этом энкодере есть ошибка в реализации алгоритма шифрования. В результате вряд ли даже и сами авторы/хозяева этой поделки в состоянии что-либо расшифровать после неё."

Я в курсе.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]