В 6 утра в воскресенье 24 ноября 2019 года на сервере сработал шифровальщик. Сейчас вычистили, но часть баз 1С пострадала. Прошу помощи!
В 6 утра в воскресенье 24 ноября 2019 года на сервере сработал шифровальщик. Сейчас вычистили, но часть баз 1С пострадала. Прошу помощи!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) SmartM, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Файл 1Cv8.1CD превратился в 1Cv8.1CD[[email protected]@tuta.io][1224663018-1574575143].xac
Могу прислать его в zip?
Здравствуйте!
Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по ссылке из правил) и повторите CollectionLog.
Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Загрузил!
Последний раз редактировалось SmartM; 26.11.2019 в 18:28.
Не нужно адрес (если сможете, удалите). Нужна ссылка на результат.
а также:
Сообщение от Sandor
http://virusinfo.info/showthread.php?t=224025
- эта ссылка нужна?
Нет.
Нужна ссылка на результат анализа, которую вы получили на свой адрес.Важно! Указать действующий e-mail необходимо, т.к. на этот адрес вам будет выслан номер заявки и, впоследствии, будет выслано уведомление о результатах анализа архива.
По-прежнему ждём:
Файл
Это тот же самый. А я прошу скачать заново по этой ссылке, запустить и собрать новый.
Файл
Автологер вы скачали по указанной мной ссылке в сообщении №10?
Да!
Имя архива AutoLogger-test.zip ?
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
файлы
Файл C:\Intel\sun.bat вам известен?
Программу Process Hacker 2.39 - ставили самостоятельно?
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: HKLM-x32\...\Run: [2024952] => 2024952 HKLM-x32\...\Run: [1329430] => 1329430 HKLM-x32\...\Run: [3994171] => 3994171 HKLM-x32\...\Run: [3297069] => 3297069 HKLM-x32\...\Run: [3629429] => 3629429 HKLM-x32\...\Run: [1782742] => 1782742 HKLM-x32\...\Run: [2836689] => 2836689 HKU\S-1-5-21-730837576-1880330167-3217559514-1026\...\MountPoints2: {5f4fc086-7d7f-11e2-9f46-0025904de0d0} - F:\SETUP.EXE HKU\S-1-5-21-730837576-1880330167-3217559514-500\...\MountPoints2: {0aec6a48-3309-11e2-88ff-806e6f6e6963} - D:\AUTORUN.EXE HKU\S-1-5-21-730837576-1880330167-3217559514-500\...\MountPoints2: {5f4fc086-7d7f-11e2-9f46-0025904de0d0} - F:\SETUP.EXE Task: {65C5336C-15DB-42E2-84FE-77FD37B2B6AB} - System32\Tasks\WBadminBackupRestore => wbadmin [Argument = DELETE BACKUP -keepVersions:0] Task: {79C70F0F-09C1-4C97-8DEF-CD470FEF2586} - System32\Tasks\BCRecover => bcdedit [Argument = /set {default} recoveryenabled No] Task: {87089D18-4F66-469D-B14A-D1BC42AA87EA} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE Task: {E85731EB-125B-4FAB-A3C0-C5BF42346C1F} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet] End::- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.
Если кроме баз 1С пострадали небольшие файлы, пару таких файлов вместе с запиской о выкупе (если есть) упакуйте в архив и прикрепите к следующему сообщению.
Пароли на доступ по RDP смените.
Файл C:\Intel\sun.bat вам известен?
Нет, удалили его вручную в процессе чистки
Программу Process Hacker 2.39 - ставили самостоятельно?
Нет, удалили ее вручную в процессе чистки
- - - - -Добавлено - - - - -
Мы заархивировали при лечении папки Intel и Process Hacker2, можем прислать
Кроме баз 1С есть еще зашифрованные не такие большие документы?
Если есть, упакуйте в архив и прикрепите к следующему сообщению.
Если была записка с требованием выкупа, ее тоже добавьте в этот архив.
они в предыдущем сообщении в аhхиве файлы.zip
записки не было. мы выключили сервер
Это Cryakl последней версии. К сожалению, расшифровки нет.
Уважаемый(ая) SmartM, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
