Здравствуйте, обнаружил запакованные в архив .rar файлы баз данных 1с sql, и требование выкупа.

[Олег2020]

Здравствуйте, обнаружил запакованные в архив .rar файлы баз данных 1с sql и файловые базы, и отсутствующие бэкапы. И письмо следущего содержания во вложении. И требованием 40000 рублей за пароль. Пожалуйста помогите.

[Info_bot]

Уважаемый(ая) Олег2020, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Взломать боле-менее длинный (а он такой и есть, не сомневайтесь) пароль к .RAR архиву нереально. Только торговаться со злоумышленником.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Олег2020]

Сделал все как Вы сказали, пофиксил, файл во вложении, подбор не удался.

[Vvvyg]

Службы удаленных рабочих столов (TermService) - Служба работает

Взломали, скорее всего, по RDP. Лечить нечего, остаётся только устранить возможность повторного взлома:
Сменить всем, у кого есть права входа по RDP, пароли, установите сложные.
Убрать права администратора у всех пользователей, кому они действительно не необходимы, при грамотной настройке прав всем они не нужны. Не
будет возможности при проникновении с правами обычного пользователя удалить теневые копии.
2.3 Учёткам Администратор/Administrator/Admin запретить удалённый доступ, для администрирования через терминал пользуйтесь другими, с
нетипичным, лучше не словарным (типа Natasha, Kirill) именем и сложными паролями.
Включить защиту от буртфорса (подбора) паролей. Простейший вариант - через политики, блокировать учётку на N минут после 3-4 неудачных попыток входа. Есть более продвинутые варианты с использованием стороннего софта, например: Инструкция по защите RDP подключения, или возможностей маршрутизатора, для Mikrotik, в частности, есть множество изощрённых рецептов.
Задуматься о внедрении NLA и/или использования какого-либо варианта подключения по VPN. Просто терминальный доступ, даже по нестандартному порту крайне не рекомендуется использовать, если не взломают то заблокируют доступ легитимным пользователям.
Ну, и бэкап, бэкап, и ещё раз бэкап, хранящийся там куда шифровальщик не доберётся, отключаемые внешние носители и т. п.

ESET Security (выключен и устарел)

Фактически, антивирус бесполезен, так?

Ну и по мелочам.

7-Zip 15.10 beta (x64) v.15.10 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
WinRAR 5.50 (64-bit) v.5.50.0 Внимание! Скачать обновления

Архиваторы тоже используются в нехороших целях, обновите:
Дыра в WinRAR более 19 лет угрожала 500 миллионам пользователей.
Уязвимость в WinRAR активно эксплуатируется злоумышленниками.
Критический баг в 7-Zip приводит к выполнению произвольного кода.