Здравствуйте!
Поймали вирус. Зашифровал файловую базу данных 1С.
Резервной копии базы нет....(((
расширение файла стало WDV, должно быть 1CD
Размер файла базы составляет 1,7 Gb
Прикрепленные файлы
-
ВКасперский2.rar 64,94К
скачиваний 3
Зашифрованы файлы базы 1С
Автор
SERGEY_R
, 26 ноя 2019 05:32
Друзья!
В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.
Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».
Сообщений в теме: 15
#2
OFF
Отправлено 26 Ноябрь 2019 - 06:48
Бессигнатурная защита от неизвестных троянцев-шифровальщиков, Рекомендации по защите данных от троянцев-шифровальщиков
Бесплатная базовая защита от Лаборатории Касперского => https://www.kaspersk...ivirus-download
#3
OFF
SERGEY_R
-
-
Новички
- Cообщений: 6
Новичок
Отправлено 26 Ноябрь 2019 - 10:50
Подскажите. Что не так я сделал?
Проверку провел средством Kaspersky Virus Removal Tool
Файлы упаковал в архив. К сообщению прикрепил.
Если про подробное описание, то ситуация следующая:
Мы купили хостинг с терминальным сервером. К серверу подключаются 3 пользователя, бухгалтера.
25 числа один из бухгалтеров обнаружил открытое черное окно на рабочем столе сервера под своей учетной записью.
Закрыл окно, скрин не сохранился.
После чего база не запустилась. Когда полезли смотреть что с базой, она оказалась зашифрованной.
Файл теперь называется:
1Cv8.1CD[decodor@protonmail.com][3302700294-1574571454].WDV
И есть еще вот такой фал в корне диска "C:"
Прикрепленные файлы
-
RakhniDecryptor.1.22.1.0_25.11.2019_10.56.35_log.txt 4,31К
скачиваний 0
#4
OFF
Отправлено 26 Ноябрь 2019 - 11:06
Вы сделали только пункт 1 из правил по предложенной ссылке. А есть ещё пункт 2, т.е. нужен CollectionLog, собранный с помощью Автологера.Подскажите. Что не так я сделал? Проверку провел средством Kaspersky Virus Removal Tool
#6
OFF
Отправлено 26 Ноябрь 2019 - 11:26
Вымогатель Dharma (.cezar Family) или Crusis по терминологии ЛК. Расшифровки нет, будет только очистка следов и мусора.
"Пофиксите" в HijackThis:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
"Пофиксите" в HijackThis:
O4 - HKU\S-1-5-21-3937798315-3953921238-4271462600-1003\..\Run: [C:\Users\USER1C\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\USER1C\AppData\Roaming\Info.hta" (User 'USER1C') O4 - HKU\S-1-5-21-3937798315-3953921238-4271462600-1004\..\Run: [3302700294] = C:\Users\USER2\AppData\Local\Temp\3\svcbbj.exe (file missing) (User 'USER2') O4 - Startup other users: C:\Users\USER1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.htaДополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
#7
OFF
SERGEY_R
-
-
Новички
- Cообщений: 6
Новичок
Отправлено 26 Ноябрь 2019 - 11:40
Вот получившиеся файлы
Прикрепленные файлы
-
Addition.txt 26,18К
скачиваний 1
-
FRST.txt 52,38К
скачиваний 1
#8
OFF
Отправлено 26 Ноябрь 2019 - 11:49
Пароли на доступ по RDP смените.
Подробнее читайте в этом руководстве.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Start:: HKU\S-1-5-21-3937798315-3953921238-4271462600-1003\...\Run: [C:\Users\USER1C\AppData\Roaming\Info.hta] => C:\Users\USER1C\AppData\Roaming\Info.hta [13922 2019-11-01] () [File not signed] HKU\S-1-5-21-3937798315-3953921238-4271462600-1004\...\Run: [3302700294] => C:\Users\USER2\AppData\Local\Temp\3\svcbbj.exe <==== ATTENTION Startup: C:\Users\USER1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-11-01] () [File not signed] 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\Downloads\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\Documents\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\Desktop\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\Roaming\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\LocalLow\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\Local\Temp\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\Public\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\Public\Downloads\README.txt 2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\Users\Все пользователи\README.txt 2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\Users\Все пользователи\Documents\README.txt 2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\Users\Public\Documents\README.txt 2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\ProgramData\README.txt 2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\ProgramData\Documents\README.txt 2019-11-01 00:16 - 2019-11-01 00:16 - 003518337 _____ C:\Users\USER1C\Documents\admin.zip.id-C4DB3506.[cryptocash@aol.com].CASH 2019-11-01 00:16 - 2019-11-01 00:16 - 000134394 _____ C:\Users\USER1C\Documents\exploit.exe.id-C4DB3506.[cryptocash@aol.com].CASH 2019-11-01 00:16 - 2019-11-01 00:16 - 000013922 _____ C:\Users\USER1C\AppData\Roaming\Info.hta End::
- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
#9
OFF
Отправлено 26 Ноябрь 2019 - 12:08
Вымогатель Dharma (.cezar Family) или Crusis по терминологии ЛК
Это Cryakl. Но расшифровки все равно нет.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Microsoft MVP 2016 Reconnect
Антивирусная помощь
#11
OFF
SERGEY_R
-
-
Новички
- Cообщений: 6
Новичок
Отправлено 27 Ноябрь 2019 - 16:20
Все вышеописанные действия выполнил.
Надеюсь, что способ расшифровки все-таки появится...
Файл во вложении
Прикрепленные файлы
-
Fixlog.txt 4,56К
скачиваний 1
#12
OFF
Отправлено 27 Ноябрь 2019 - 16:37
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
#14
OFF
akoK
-
-
Консультанты 
Старожилы-
- Cообщений: 1 976
Ёж птица гордая.
Отправлено 27 Ноябрь 2019 - 20:38
Нет и в ближайшем будущем не будет. А так
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
Microsoft MVP 2012, 2013, 2014, 2015 Consumer Security
Windows Insider MVP 2016-2019
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных
