Просим помочь с расшифровкой файлов после вируса-вымогателя

**ddiamant** · 07.02.2019, 19:04

Добрый день.
Ночью вирус проник на сервер и зашифровал папки и файлы, 1С и бэкапы.

Текст вымогателей:

К Вашему серверу был получен доступ в связи с непрофессиональной настройкой безопасности.
Ваши базы и файлы были архивированы при помощи архиватора WinRAR с паролем.
Для просмотра файлов откройте архив, для распаковки файлов требуется ввести пароль.
За паролем, Вы можете обратиться, написав на электронный адрес [email protected]
В письме укажите свой ip адрес [скрыто]
Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера,
во избежание подобных ситуаций в будущем.

Просим помочь с расшифровкой. Спасибо

Уведомление

Не светите свой внешний IP адрес! По RDP же залезут.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 07.02.2019, 19:05

Уважаемый(ая) ddiamant, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**ddiamant** · 08.02.2019, 12:15

Сообщение от Info_bot

Уважаемый(ая) ddiamant, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

вложение

- - - - -Добавлено - - - - -

Сообщение от ddiamant

вложение

Подскажите, пожалуйста, когда можно ждать ответа на наш запрос

**mike 1** · 08.02.2019, 17:25

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\ProgramData\svchost.exe','');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTRAY.EXE','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ QQPCTray','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mailruhomesearch','x64');
 DeleteFile('C:\Users\User2\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe','64');
 DeleteFile('C:\ProgramData\svchost.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\svchost.exe -start','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZetaGamesViewer','x64');
 DeleteFile('C:\Users\User2\AppData\Local\ZetaGamesViewer\zetaviewer.exe','64');
 DeleteSchedulerTask('InternetEF');
ExecuteSysClean;
end.

Перезагрузите компьютер. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Просим помочь с расшифровкой файлов после вируса-вымогателя (заявка № 221902)

Опции темы