Перейти к содержимому


Фотография
- - - - -

Зашифрованы файлы базы 1С

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


Сообщений в теме: 15

#1 OFF   SERGEY_R

SERGEY_R

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 26 Ноябрь 2019 - 05:32

Здравствуйте!

 

Поймали вирус. Зашифровал файловую базу данных 1С.

Резервной копии базы нет....(((

расширение файла стало WDV, должно быть 1CD

 

Размер файла базы составляет 1,7 Gb

Прикрепленные файлы


  • 0

#2 ON   mike 1

mike 1

    Мурзик

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 13 497

Отправлено 26 Ноябрь 2019 - 06:48

https://forum.kasper...showtopic=43640
  • 0

#3 OFF   SERGEY_R

SERGEY_R

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 26 Ноябрь 2019 - 10:50

Подскажите. Что не так я сделал?
Проверку провел средством Kaspersky Virus Removal Tool
Файлы упаковал в архив. К сообщению прикрепил.

 

Если про подробное описание, то ситуация следующая:
Мы купили хостинг с терминальным сервером. К серверу подключаются 3 пользователя, бухгалтера.

25 числа один из бухгалтеров обнаружил открытое черное окно на рабочем столе сервера под своей учетной записью.

Закрыл окно, скрин не сохранился.

После чего база не запустилась. Когда полезли смотреть что с базой, она оказалась зашифрованной.


Файл теперь называется:

1Cv8.1CD[decodor@protonmail.com][3302700294-1574571454].WDV


И есть еще вот такой фал в корне диска "C:"

 

Прикрепленные файлы


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 250

Отправлено 26 Ноябрь 2019 - 11:06

Подскажите. Что не так я сделал? Проверку провел средством Kaspersky Virus Removal Tool

Вы сделали только пункт 1 из правил по предложенной ссылке. А есть ещё пункт 2, т.е. нужен CollectionLog, собранный с помощью Автологера.
  • 0
Изображение

#5 OFF   SERGEY_R

SERGEY_R

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 26 Ноябрь 2019 - 11:16

CollectionLog включен в архив и прикреплен к первому сообщению


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 250

Отправлено 26 Ноябрь 2019 - 11:26

Вымогатель Dharma (.cezar Family) или Crusis по терминологии ЛК. Расшифровки нет, будет только очистка следов и мусора.

"Пофиксите" в HijackThis:
O4 - HKU\S-1-5-21-3937798315-3953921238-4271462600-1003\..\Run: [C:\Users\USER1C\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\USER1C\AppData\Roaming\Info.hta" (User 'USER1C')
O4 - HKU\S-1-5-21-3937798315-3953921238-4271462600-1004\..\Run: [3302700294] = C:\Users\USER2\AppData\Local\Temp\3\svcbbj.exe  (file missing) (User 'USER2')
O4 - Startup other users: C:\Users\USER1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#7 OFF   SERGEY_R

SERGEY_R

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 26 Ноябрь 2019 - 11:40

Вот получившиеся файлы

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   26,18К   скачиваний 1
  • Прикрепленный файл  FRST.txt   52,38К   скачиваний 1

  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 250

Отправлено 26 Ноябрь 2019 - 11:49

Пароли на доступ по RDP смените.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKU\S-1-5-21-3937798315-3953921238-4271462600-1003\...\Run: [C:\Users\USER1C\AppData\Roaming\Info.hta] => C:\Users\USER1C\AppData\Roaming\Info.hta [13922 2019-11-01] () [File not signed]
    HKU\S-1-5-21-3937798315-3953921238-4271462600-1004\...\Run: [3302700294] => C:\Users\USER2\AppData\Local\Temp\3\svcbbj.exe <==== ATTENTION
    Startup: C:\Users\USER1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-11-01] () [File not signed]
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\Downloads\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\Documents\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\Desktop\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\Roaming\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\LocalLow\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\Local\Temp\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\Public\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\Public\Downloads\README.txt
    2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\Users\Все пользователи\README.txt
    2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\Users\Все пользователи\Documents\README.txt
    2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\Users\Public\Documents\README.txt
    2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\ProgramData\README.txt
    2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\ProgramData\Documents\README.txt
    2019-11-01 00:16 - 2019-11-01 00:16 - 003518337 _____ C:\Users\USER1C\Documents\admin.zip.id-C4DB3506.[cryptocash@aol.com].CASH
    2019-11-01 00:16 - 2019-11-01 00:16 - 000134394 _____ C:\Users\USER1C\Documents\exploit.exe.id-C4DB3506.[cryptocash@aol.com].CASH
    2019-11-01 00:16 - 2019-11-01 00:16 - 000013922 _____ C:\Users\USER1C\AppData\Roaming\Info.hta
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
  • 0
Изображение

#9 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 796

Награды

           

Отправлено 26 Ноябрь 2019 - 12:08


Вымогатель Dharma (.cezar Family) или Crusis по терминологии ЛК

Это Cryakl. Но расшифровки все равно нет.


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 250

Отправлено 26 Ноябрь 2019 - 12:11

Похоже два шифровальщика поработали, видны следы ещё от 1.11.2019
  • 0
Изображение

#11 OFF   SERGEY_R

SERGEY_R

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 27 Ноябрь 2019 - 16:20

Все вышеописанные действия выполнил.

Надеюсь, что способ расшифровки все-таки появится...

Файл во вложении

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   4,56К   скачиваний 1

  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 250

Отправлено 27 Ноябрь 2019 - 16:37

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
  • 0
Изображение

#13 OFF   Alfir

Alfir

    Новичок

  • Новички
  • Cообщений: 1

Отправлено 27 Ноябрь 2019 - 19:06

Не появилось решение? Столкнулись с такой же проблемой, зашифровал все файлы 1с...
  • 0

#14 OFF   akoK

akoK

    Ёж птица гордая.

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPip
  • Cообщений: 1 972

Отправлено 27 Ноябрь 2019 - 20:38

Нет и в ближайшем будущем не будет. А так


При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

  • 0

Microsoft MVP 2012, 2013, 2014, 2015 Consumer Security
Windows Insider MVP 2016-2019


#15 OFF   SERGEY_R

SERGEY_R

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 28 Ноябрь 2019 - 07:58

Какова вероятность расшифровки файлов?


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных