Перейти к содержимому


Фотография
- - - - -

Шифровальщик БД 1С и приложений [workup@india.com].java

Шифровальщик india.com

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 5

#1 OFF   Petrosyan_v

Petrosyan_v

    Новичок

  • Новички
  • Cообщений: 2

Отправлено 08 Декабрь 2017 - 23:48

Добрый день!

 

Прошу Вашей помощи!

Сегодня в 12-00 на сервере Windows 2012 R2 были зашифрованы БД 1С, приложения, ярлыки, файлы офисных приложений, картинки и т.д.

файлы переименованы с расширением: id-1C56D44A.[Workup@india.com].java

В системе появился новый пользователь "oracle".

Причина нам не известна, т.к. система практически парализована и нет возможности запустить системные приложения для просмотра истории действий вируса. 

 

Во вложении лог и пример зашифрованного файла.

 

Заранее благодарю за помощь

 

 


направляю результат сканирования FRST

Прикрепленные файлы


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 542

Награды

           

Отправлено 09 Декабрь 2017 - 11:01

С расшифровкой помочь не сможем. Будет только зачистка следов мусора.
 
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13915 2017-12-08] ()
HKLM\...\Run: [C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta] => C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta [13915 2017-12-08] ()
2017-12-08 12:01 - 2017-12-08 12:01 - 000000166 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2017-12-08 12:01 - 2017-12-08 12:01 - 000000166 _____ C:\FILES ENCRYPTED.txt
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   Petrosyan_v

Petrosyan_v

    Новичок

  • Новички
  • Cообщений: 2

Отправлено 09 Декабрь 2017 - 16:29

Добрый день!

 

Во вложении запрошенный файл.

Он был создан до перезагрузки сервера.

Правильно ли я понял Вас, что базы данных восстановить невозможно?

 

Спасибо


во вложении файл созданный после перезагрузки сервера, после первого запуска FRST c файлом fixlist.txt

​все четыре указанные единицы удалены

но по прежнему при входе на рабочий стол запускается всплывающее окно программы-шифровальщика (скрин во вложении)

 

​Если я все понял правильно, то начинать придется с нуля:

​- новая установка ОС win server

- новые базы данных 1с

 

​Спасибо

Прикрепленные файлы


  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 542

Награды

           

Отправлено 09 Декабрь 2017 - 17:39

C:\Windows\System32\Info.hta
C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta

 

удалите вручную

 


Правильно ли я понял Вас, что базы данных восстановить невозможно?
расшифровать могут только сами злоумышленники.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   bss1312

bss1312

    Новичок

  • Новички
  • Cообщений: 1

Отправлено 22 Январь 2018 - 15:23

 

C:\Windows\System32\Info.hta
C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta

 

удалите вручную

 

 

 


Правильно ли я понял Вас, что базы данных восстановить невозможно?
расшифровать могут только сами злоумышленники.

 

 

А если есть исходный и зашифрованный файлы это может помочь?


  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 542

Награды

           

Отправлено 22 Январь 2018 - 17:06

А если есть исходный и зашифрованный файлы это может помочь?

Увы, нет
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif





Темы с аналогичными тегами: Шифровальщик, india.com

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных