Поймал шифровальщик [email protected]

**Age1983** · 09.02.2017, 06:30

Зашифровал базы 1с. Бэкап баз я делал основных(2 базы), но только самих баз. А там еще есть внешние обработки, сейчас они не работают. И полностью зашифрованы базы, в которых сейчас не работают(старые). Заранее благодаренCollectionLog-2017.02.09-08.19.zip

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 09.02.2017, 06:31

Уважаемый(ая) Age1983, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 09.02.2017, 16:47

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**Age1983** · 09.02.2017, 18:37

отчеты

**thyrex** · 09.02.2017, 18:47

Судя по времени появления файлов с сообщениями вымогателя зашифровали Вас ночью (ранним утром) 7 февраля. Логи сервера посмотреть реально на предмет постороннего входа по RDP в эту дату? Нужно искать тело шифратора, если оно не было удалено. Предположительно имя файла может совпадать (быть похожим) на имя одного из системных файлов

**Age1983** · 09.02.2017, 19:23

Да. Заражение произошло по рдп от бухгалтера, которая скучала дома игрушки и принесла на работу. Комп её я не лечил и ничего не удалял. Если только нод32 сам не постарался. Буду с утра на работе-поищу тело. Серин нода прикреплю

**thyrex** · 09.02.2017, 19:29

В карантине антивируса посмотрите MSIL/Filecoder и попробуйте восстановить его

**Age1983** · 10.02.2017, 06:13

Вот и MSIL/Filecode

**thyrex** · 10.02.2017, 07:16

Пришлите еще файл HOW DECRIPT FILES.hta и образцы шифрованных файлов для теста

**Age1983** · 10.02.2017, 14:56

Пожалуйста

**thyrex** · 10.02.2017, 15:52

Ближе к полуночи по Москве выдам расшифровку

**Age1983** · 11.02.2017, 04:11

Хорошо, отблагодарю

**thyrex** · 11.02.2017, 10:00

Проверьте ЛС

Поймал шифровальщик [email protected] (заявка № 209164)

Опции темы