Добрый день.
Зашифровались файлы 1с на сервере.
Наверное взломали удаленный доступ.
Пример файла во вложении.
Возможно ли расшифровать?
Спасибо.
Добрый день.
Зашифровались файлы 1с на сервере.
Наверное взломали удаленный доступ.
Пример файла во вложении.
Возможно ли расшифровать?
Спасибо.
Уважаемый(ая) [B]Piton2014[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url]http://virusinfo.info/pravila.html[/url]
Просканировал, выкладываю логи.
Спасибо.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Все ли я нормально отправил?
Подскажите если что не так.
Спасибо.
[QUOTE]Версия Windows: 5.2.3790, Service Pack 2 "Microsoft Windows Server 2003 R2" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#10)
[/QUOTE]
Логи нужны не через терминальную сессию. В дополнение к стандартным логам сделайте еще такой
[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]
Высылаю лог.
К сожалению не могу физически сделать логи локально, сейчас работаю удаленно.
При первой возможности скину.
Спасибо.
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url]
[code]
;uVS v3.83 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v383c
breg
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DEFAULT USER\APPLICATION DATA\CRYPTE2ACBFF8E9D2C6F54A690B0AA776739C\UNICRYPTC.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\SVITLANA\APPLICATION DATA\UNICRYPTH\UNICRYPTH.EXE
dirzooex %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\МОЯ МУЗЫКА\SYNC PLAYLISTS\888881136
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\МОЯ МУЗЫКА\SYNC PLAYLISTS\888881136\WAAGENT.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\МОЯ МУЗЫКА\SYNC PLAYLISTS\888881136\WASPPACER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\МОЯ МУЗЫКА\SYNC PLAYLISTS\888881136\WASUB.EXE
zoo %SystemDrive%\INTEL\WEB\MICROSOFT\SAFESURF.EXE
delall %SystemDrive%\INTEL\WEB\MICROSOFT\SAFESURF.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\РАБОЧИЙ СТОЛ\ROUTERSCAN\ROUTERSCAN.EXE
zoo E:\MEDOC\UPDATE.EXE
zoo E:\MEDOCGOOD\UPDATE.EXE
czoo
[/code]
Перезагрузите сервер вручную. В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "[b]Прислать запрошенный карантин[/b]" над над первым сообщением в теме.
Сделайте новый лог uVS.
Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления [B][COLOR="#0000FF"]откажитесь[/COLOR][/B] от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]
Можете что-то сказать о возможности дешифровки?
Платить или не платить им.
Бухгалтер в трансе уже.
В каталогах есть текстовый файл:
"Внимание! Все Ваши файлы зашифрованы!
Чтобы восстановить свои файлы и получить к ним доступ,
свяжитесь с нами по email: [email][email protected][/email]
У вас есть 5 попыток ввода кода. При превышении этого
количества, все данные необратимо испортятся. Будьте
внимательны при вводе кода!"
[QUOTE]Можете что-то сказать о возможности дешифровки?[/QUOTE]
Есть хорошие шансы на дешифровку если сможем найти сам шифратор. Без него шансов немного.
Скинул карантин.
Логи малваре, принскрин карантина доктора веба.
Файл [B]DC3.exe[/B] пришлите согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
Добрый день.
Закинул файл DC3.exe, был в карантине, заархивировал с паролем virus.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Извините за настойчивость...
Нет ли утешительных новостей?
Спасибо.
Пробовали [url]http://media.kaspersky.com/utilities/VirusUtilities/RU/xoristdecryptor.exe[/url] ? Если не поможет значит придется подождать возможно до пятницы.
К сожалению сканирование не дало результата......
Тогда до пятницы или до понедельника в зависимости от загруженности специалиста по шифраторам из Лаборатории Касперского.
Понял, сорри.
Фирма на ушах, работа стоит. Будем ждать.
Спасибо.
Пришлите картинку зашифрованную.
Добрый день.
Это мне они скинули(ругается на вирус) для расшифровки(начальство решило платить), все работает, только запускать нужно 1 раз.
Вот результат, думаю пригодится.
програмка: [[B]Скрыто[/B]]
код: Cg02rkA9U9wTw5J234543hfY780HzWek6fe1oCB8t
Жалко, а файлы можно было расшифровать и без оплаты.
[QUOTE]програмка[/QUOTE]
Программка эта может работать как шифратор и как дешифратор.
Все равно спасибо.
Начальство спешило очень.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \dc3.exe - [B]Trojan-Ransom.Win32.Xorist.er[/B] ( BitDefender: Generic.Malware.Sprn.EA2F069C )[*] \waagent.exe._8aad183d17e18952accf0167b80f3420a124bbdf - [B]not-a-virus:NetTool.Win32.Wasppace.l[/B] ( BitDefender: Trojan.Generic.11759656 )[*] \wasub.exe._616f9dc26d5023b128b420996523574f25aee2b7 - [B]not-a-virus:NetTool.Win32.Wasppace.l[/B] ( DrWEB: Tool.Click.22, BitDefender: Trojan.Generic.11692138 )[/LIST][/LIST]