Зашифрованы базы 1С [not-a-virus:NetTool.Win32.Wasppace.l, Trojan-Ransom.Win32.Xorist.er ]

Зашифрованы базы 1С.
1. Текстовый файлы КАК РАСШИФРОВАТЬ ФАЙЛЫ с содержимым : Внимание! Все Ваши файлы зашифрованы!Чтобы восстановить свои файлы и получить к ним доступ,
свяжитесь с нами по email: [noparse][email protected][/noparse]


У вас есть 5 попыток ввода кода. При превышении этого
количества, все данные необратимо испортятся. Будьте
внимательны при вводе кода!
2. Сначала сами пытались расшифровать утилитами xoristdecryptor, rectordecryptor
3. Потом связались по указанному адресу заплатили 3 тыс, прислали письмо с содержимым
[COLOR=#000000][FONT=Arial]програмка: [/FONT][/COLOR][URL]http://rghost.ru/58095875[/URL]
[COLOR=#000000][FONT=Arial]код: Cg02rkA9U9wTw5J234543hfY7[/FONT][/COLOR][COLOR=#000000][FONT=Arial]80HzWek6fe1oCB8t
[/FONT][/COLOR]4. Скачали их программку, KIS находил по ссылке " [COLOR=#2C2C2C][FONT=tahoma]объект заражен [/FONT][/COLOR][Trojan-Ransom.Win32.Xorist.er"
5. Запустили их программу ввели код, некоторые старые копии базы доступны стали , а необходимые нет

Уважаемый(ая) [B]Rizvan Kadim[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

waspace_3.11.6.0 вряд ли сами устанавливали?

Пришлите несколько проблемных файлов небольшого размера

нет, сами не устанавливали

[QUOTE=thyrex;1164540]
Пришлите несколько проблемных файлов небольшого размера[/QUOTE]
???

Меняйте паролm от RDP

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\PreInstall\uddisrw.exe','');
QuarantineFile('C:\Users\4E26~1\AppData\Local\Temp\0OBBDSsH5F8mq7J.exe','');
TerminateProcessByName('c:\users\kassa\desktop\waspace_3.11.6.0_full\wasub.exe');
QuarantineFile('c:\users\kassa\desktop\waspace_3.11.6.0_full\wasub.exe','');
TerminateProcessByName('c:\users\kassa\desktop\waspace_3.11.6.0_full\wasppacer.exe');
QuarantineFile('c:\users\kassa\desktop\waspace_3.11.6.0_full\wasppacer.exe','');
TerminateProcessByName('c:\users\kassa\desktop\waspace_3.11.6.0_full\waagent.exe');
QuarantineFile('c:\users\kassa\desktop\waspace_3.11.6.0_full\waagent.exe','');
QuarantineFile('c:\users\kassa\appdata\roaming\microsoft\internet explorer\quick launch\iexplorer (1)\surfguard.exe','');
QuarantineFile('c:\users\kassa\windows\system\webisida\webisida\gecko\securesurf.browser.client.exe','');
QuarantineFile('c:\users\kassa\appdata\roaming\microsoft\internet explorer\quick launch\iexplorer (1)\safesurf.exe','');
DeleteFile('c:\users\kassa\desktop\waspace_3.11.6.0_full\waagent.exe','32');
DeleteFile('c:\users\kassa\desktop\waspace_3.11.6.0_full\wasppacer.exe','32');
DeleteFile('c:\users\kassa\desktop\waspace_3.11.6.0_full\wasub.exe','32');
DeleteFile('C:\Users\4E26~1\AppData\Local\Temp\0OBBDSsH5F8mq7J.exe','32');
DeleteFileMask('c:\users\kassa\desktop\waspace_3.11.6.0_full', '*', true);
DeleteDirectory('c:\users\kassa\desktop\waspace_3.11.6.0_full');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
end.[/code]Компьютер перезагрузите вручную.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

карантин отправил

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

https://yadi.sk/d/Lj0ilFfQbhVjv
по ссылке заархивированный зашифрованный файл, архив весит 160 мб, после распаковки 1,6 гб

Поменьше файлов не нашлось? Делайте новые логи.

Новые логи приложил

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Какое расширение было у зашифрованных файлов?

у файлов 1с не поменялось расширение, у некоторых файлов есть расширение .hfi

Попробуйте у файлов 1С тоже добавить подобное расширение и пробуйте дешифратор от злоумышленников. Лучше экспериментировать на копиях

не получается дешифратор можно использовать только 5 раз, после он опять все шифрует. Сам файл базы на отдельном компьютере не удастся расшифровать ?

Пришлите небольшой зашифрованный файл.

[url]https://yadi.sk/d/zJwTdFPXbie4R[/url]

А файлов с расширением doc или xls нет?

к сожалению нет

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

к сожалению нет

Картинок тоже нет?

[url]https://yadi.sk/i/CpTGiydKbistC[/url]
xls файл

Файл расшифровался. Лог MBAM сделайте

к серверу потерян админский доступ, можно ли отдельно файлы расшифровать некоторые?

Можно, но только когда убедимся что логи в порядке.

админского доступа к серверу уже нет поэтому mbam логи не получится сделать

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

можем предоставить прямой пользовательский доступ к серверу

Ладно потом тогда сделайте его.

[INFORMATION]

Скачайте [URL="http://download.geo.drweb.com/pub/drweb/tools/te94decrypt.exe"]te94decrypt.exe[/URL] и сохраните [B][COLOR="#0000CD"]в корень диска С[/COLOR][/B].

В командной строке введите:
[code]C:\te94decrypt.exe -k 475[/code]

[B][COLOR="#FF0000"]Внимание!!![/COLOR][/B]
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет

2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались[/INFORMATION]

расшифровывать обязательно на том же компьютере который поражен вирусом или на другом компьютере нужный файл можно расшифровать

В принципе без разницы.

обязательно на диск C или с D тоже можно запустить

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

запускаю на др компьютере сканирует все и выходит сообщение расшифровано 0 файлов, запускаю на зараженном с диска d из под обычного пользователя сразу выходит сообщение неверный ключ

[QUOTE]обязательно на диск C или с D тоже можно запустить[/QUOTE]
Если на диск D сохраняете, то путь к утилите нужно будет указать к диску D.

[QUOTE]запускаю на др компьютере сканирует все и выходит сообщение расшифровано 0 файлов, запускаю на зараженном с диска d из под обычного пользователя сразу выходит сообщение неверный ключ[/QUOTE]
После использования кривого дешифратора от авторов этого шифратора такое возможно. Дешифратор должен расшифровать файлы с расширением [B][COLOR="#0000FF"].hfi [/COLOR][/B]

Получилось, большое спасибо вам. Как поддержать проект?

[QUOTE=Rizvan Kadim;1165579]Получилось, большое спасибо вам. Как поддержать проект?[/QUOTE]
[url]http://virusinfo.info/content.php?r=113-virusinfo.info-donate[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\kassa\desktop\waspace_3.11.6.0_full\waagent.exe - [B]not-a-virus:NetTool.Win32.Wasppace.l[/B] ( BitDefender: Trojan.Generic.11759656 )[*] c:\users\kassa\desktop\waspace_3.11.6.0_full\wasppacer.exe - [B]not-a-virus:NetTool.Win32.Wasppace.l[/B] ( DrWEB: Tool.Wasppacer.2 )[*] c:\users\kassa\desktop\waspace_3.11.6.0_full\wasub.exe - [B]not-a-virus:NetTool.Win32.Wasppace.l[/B] ( DrWEB: Tool.Click.22, BitDefender: Trojan.Generic.11692138 )[*] c:\users\4e26~1\appdata\local\temp\0obbdssh5f8mq7j.exe - [B]Trojan-Ransom.Win32.Xorist.er[/B] ( BitDefender: Generic.Malware.Sprn.EA2F069C )[/LIST][/LIST]