Зашифровали все базы 1С и вымогают 30 000 руб

[olegyam]

Все Базы сложили в архив RAR и его запаролили
В папке где лежат файлы положили текстовый файл следующего содержания

Внимание! Ваши данные заархивированы с паролем, использование их невозможно.
Для получения пароля к архиву от вас требуется оплата в эквиваленте 30000р (инструкции по оплате вам будут выданы после вашего обращения).
При согласии напишите на почту [email protected] (резервный [email protected]) , указав в обращении IP адрес вашего сервера (внешний, его можно узнать, открыв сайт 2ip.ru).
IP адрес необходим для выдачи вам вашего персонального пароля от архивов. Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера, во избежания подобных ситуаций в будущем.


Сразу, чтобы "не вставать дважды", к вопросу о гарантиях, который задают почти все - "где гарантия того, что после оплаты - пришлете пароль", "где гарантия что данные откроются" и т.п.
Ответ: как вы видите - архив с данными у вас лежит и доступен к просмотру. Хотел бы кинуть - удалил бы просто все и сказал что данные у меня лежат, а после оплаты - слился бы, а не заморачивался бы с архивацией информации.
Если сами не будете затягивать - то через 1-2 часа сможете продолжать работу как ни в чем ни бывало + избавитесь от лазеек в системе и никто вас более не потревожит. В конце концов почту мою загуглите, - не вы первые, не вы последние, но кинутых не было.
Если сильно так хочется гарантию распаковки - заливайте архив на яндекс диск, присылайте ссылку, скачаю, извлеку какой то файл, для вашего спокойствия. Но для вас это дополнительные затраты времени.


Через 24 часа цена за пароль от архивов составит 40000р.

[Info_bot]

Уважаемый(ая) olegyam, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[olegyam]

Да еще.
Зашифровали еще одну папку с некоей самописной программой
там лежит скрытый файл, который онлайн проверкой на вирусы определяется как
AegisLab

Trojan.Win32.Generic.4!c
SecureAge APEX

Malicious
CrowdStrike Falcon

Win/malicious_confidence_60% (D)
Cybereason

Malicious.cbc24f
Palo Alto Networks

Generic.ml
Rising

[email protected] (RDML:aUlAU5PIHq8U0LllU5eodA)
SentinelOne (Static ML)

DFI - Malicious PE
Sophos ML

Heuristic
Symantec

ML.Attribute.HighConfidence
Trapmine

Suspicious.low.ml.score

[Vvvyg]

Ссылку на результат проверки на virustotal приведите.

Взломать запароленный архив .RAR за приемлемое время невозможно. Если нет бэкапов - Вы попали.

Взлом в ручном режиме, лечить нечего, можно только безопасность повысить.

Выполните скрипт в AVZ:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 ExecuteRepair(9);

 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)

end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

Перезагрузите сервер.