Сообщений в теме: 5

[Petrosyan_v]

Добрый день!

 

Прошу Вашей помощи!

Сегодня в 12-00 на сервере Windows 2012 R2 были зашифрованы БД 1С, приложения, ярлыки, файлы офисных приложений, картинки и т.д.

файлы переименованы с расширением: id-1C56D44A.[Workup@india.com].java

В системе появился новый пользователь "oracle".

Причина нам не известна, т.к. система практически парализована и нет возможности запустить системные приложения для просмотра истории действий вируса. 

 

Во вложении лог и пример зашифрованного файла.

 

Заранее благодарю за помощь

 

 

направляю результат сканирования FRST

Прикрепленные файлы

•  CollectionLog-2017.12.08-22.09.zip   64,97К   скачиваний 3
•  МОК ОПТ сен17.xls.id-1C56D44A.Workup@india.com.zip   8,96К   скачиваний 1
•  FRST-2017.12.08-23.40.zip   19,81К   скачиваний 1

[thyrex]

С расшифровкой помочь не сможем. Будет только зачистка следов мусора.
 
1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13915 2017-12-08] ()
HKLM\...\Run: [C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta] => C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta [13915 2017-12-08] ()
2017-12-08 12:01 - 2017-12-08 12:01 - 000000166 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2017-12-08 12:01 - 2017-12-08 12:01 - 000000166 _____ C:\FILES ENCRYPTED.txt

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную.

[Petrosyan_v]

Добрый день!

 

Во вложении запрошенный файл.

Он был создан до перезагрузки сервера.

Правильно ли я понял Вас, что базы данных восстановить невозможно?

 

Спасибо

во вложении файл созданный после перезагрузки сервера, после первого запуска FRST c файлом fixlist.txt

​все четыре указанные единицы удалены

но по прежнему при входе на рабочий стол запускается всплывающее окно программы-шифровальщика (скрин во вложении)

 

​Если я все понял правильно, то начинать придется с нуля:

​- новая установка ОС win server

- новые базы данных 1с

 

​Спасибо

Прикрепленные файлы

•  Fixlog.zip   660байт   скачиваний 1
•  FIXLOG.ZIP   644байт   скачиваний 0
•  рабочий стол админа сервера при запуске.zip   202,6К   скачиваний 1

[thyrex]

C:\Windows\System32\Info.hta
C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta

 

удалите вручную

 

Правильно ли я понял Вас, что базы данных восстановить невозможно?

расшифровать могут только сами злоумышленники.

[bss1312]

 

C:\Windows\System32\Info.hta
C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta

 

удалите вручную

 

 

 

Правильно ли я понял Вас, что базы данных восстановить невозможно?

расшифровать могут только сами злоумышленники.

 

 

А если есть исходный и зашифрованный файлы это может помочь?

[thyrex]

А если есть исходный и зашифрованный файлы это может помочь?

Увы, нет