Вирусная атака с зашифровкой данных ([email protected]), проблема по сбору логов

**RomVas** · 16.02.2018, 12:51

Здравствуйте! Зашифровали сервер, шифровке подверглись практически все типы файлов, включая приложения (exe). Зашифрованы полностью каталоги программ microsoft sql server, 1C. После шифровки ко всем файлам добавляется "*.id-F602498A.[[email protected]].java".

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.02.2018, 12:53

Уважаемый(ая) RomVas, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 16.02.2018, 17:32

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**RomVas** · 16.02.2018, 17:44

Спасибо за ответ! Извините что архив сразу не прикрепил, первое сообщение отредактировал.

**mike 1** · 16.02.2018, 17:52

На корпоративный Eset лицензия имеется?

**RomVas** · 16.02.2018, 18:04

Да имеется, до зашифровки стояли актуальные обновления и антивирус был в активном режиме. Извините за долгий ответ, уведомление долго не приходило да и обновление сайта не додумался сделать.

**mike 1** · 16.02.2018, 18:52

Да имеется, до зашифровки стояли актуальные обновления и антивирус был в активном режиме.

А к вам удаленно залезли.

Скажем так, если вы готовы ждать около недели, то прикрепите зашифрованный файл в архиве. При этом сразу говорю, что результат не гарантирован.

**RomVas** · 16.02.2018, 18:58

Я готов ждать, выбора нет данные очень важны. Скажите пожалуйста есть ли еще варианты по восстановлению данных, я имею ввиду "Помогите+". К сожалению "бьюсь об монитор головой уже на протяжении суток" тяжело усваиваю информацию и немного не понял изложенную информацию в том разделе. Может есть более быстрый способ или еще какие то варианты...

**mike 1** · 16.02.2018, 19:01

Помогите + не надо оплачивать. У меня в платный раздел даже доступа нет.

Я готов ждать, выбора нет данные очень важны.

Пришлите в архиве несколько зашифрованных docx или xlsx файлов. + В архив упакуйте еще этот C:\Windows\System32\Info.hta файл.

**RomVas** · 16.02.2018, 19:29

Сообщение от mike 1

А к вам удаленно залезли.

Скажем так, если вы готовы ждать около недели, то прикрепите зашифрованный файл в архиве. При этом сразу говорю, что результат не гарантирован.

Есть просто зашифрованные файлы, есть зашифрованный файл и его чистый оригинал, имеется тестовый документ с контактами хакера и номер его кошелька биткоинов, есть тело вируса. Может что то еще из перечисленного выше помимо зашифрованного файла нужно?

- - - - -Добавлено - - - - -

Возможно такое что файла Info.hta нет на сервере?

- - - - -Добавлено - - - - -

Поиск нашел один файл, но его сразу Eset бракует

- - - - -Добавлено - - - - -

В ахиве:
1. Чистый оригинал + Зашифрованный файл.
2. TXT документ.
3. URL ссылка стандартной домашней страницы.
4. XML документ.
5. desktop.ini - с рабочего стола.
6. XLSX документ.

Пароль на архив 123789

- - - - -Добавлено - - - - -

"Чистый оригинал + Зашифрованный файл" это файл из установочника платформы 1С

**mike 1** · 16.02.2018, 20:55

Поиск нашел один файл, но его сразу Eset бракует

Я не знаю почему у Eset такие аналитики, которые добавляют в базы записки с требованиями выкупа. По сути данные файлы не представляют угрозы.

Может что то еще из перечисленного выше помимо зашифрованного файла нужно?

На данный момент нет.

**RomVas** · 16.02.2018, 21:16

Что мне нужно сделать? Насколько я понял info.hta относится к записке с требованиями?

- - - - -Добавлено - - - - -

Сообщение от RomVas

Что мне нужно сделать? Насколько я понял info.hta относится к записке с требованиями?

Хотя изначально записка на рабочем столе и жестких дисках обзывалась "File encrypted.txt"

**mike 1** · 16.02.2018, 21:58

Ждать. Да.

**RomVas** · 17.02.2018, 09:52

Не совсем сообразил какой файл в итоге нужен, потому высылаю два файла:
1. Info.hta
2. File encrypted.txt

Вирусная атака с зашифровкой данных ([email protected]), проблема по сбору логов (заявка № 217757)

Опции темы