Перейти к содержанию

Вирус зашифровал файлы


Рекомендуемые сообщения

Здравствуйте!
На сервере стоит Смол Офис Секьюрити 3
сегодня обнаружил сообщение что базы данных 1с повреждены, антивирус отключен. в папках на сервере лежит текст:
Внимание! Все Ваши файлы зашифрованы!
Чтобы восстановить свои файлы и получить к ним доступ, 
свяжитесь с нами : super.v-lom@yandex.ru Вам ответят в течении суток.
У вас есть 3 попытки ввода кода. При превышении этого 
количества, все данные необратимо испортятся. Будьте 
внимательны при вводе кода! не пытайтесь самостоятельно расшифровать файлы это приведет к их полному уничтожению. также не пытайтесь копировать переносить или изменять файлы это их так же уничтожит .если будет желание эксперементируйте на не нужных Вам файлах ...

Что делать?

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 56
  • Created
  • Последний ответ

Top Posters In This Topic

  • chaba

    27

  • mike 1

    20

  • thyrex

    5

  • Roman_Five

    4

Top Posters In This Topic

Popular Posts

нужно карантин смотреть не через проводник, а в антивирусе.

Здравствуйте!  Что удалялось?     Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.   Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника

пробовали использовать?   http://support.kaspersky.ru/viruses/disinfection/2911

Posted Images

Добрый день!

Сегодня столкнулся с проблемой. Залез на сервер, а там отключенный антивирусник и сообщение : файл баз данных поврежден. Меня собственно 1с волнует. Во всех папках лежит текстовый файл такого содержания:

 

Внимание! Все Ваши файлы зашифрованы!
Чтобы восстановить свои файлы и получить к ним доступ, 
свяжитесь с нами : super.v-lom@yandex.ru  Вам ответят в течении суток.
У вас есть 3 попытки ввода кода. При превышении этого 
количества, все данные необратимо испортятся. Будьте 
внимательны при вводе кода! не пытайтесь самостоятельно расшифровать файлы это приведет к их полному уничтожению. также не пытайтесь копировать переносить или изменять файлы это их так же уничтожит .если будет желание эксперементируйте на не нужных Вам файлах ...
 
 
После я включил защиту каспер чтото нашел поудалял. проблема естественно осталась. что делать, господа?

CollectionLog-2014.10.16-15.56.zip

Ссылка на сообщение
Поделиться на другие сайты
Здравствуйте! 

 

 

После я включил защиту каспер чтото нашел поудалял

Что удалялось?

 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('g:\windows\in\winlоgоn.exe');
 QuarantineFile('C:\Users\User4\Desktop\0BC4~1.EXE','');
 QuarantineFile('C:\Users\9335~1\AppData\Local\Temp\9\GPUTemp.exe','');
 QuarantineFile('C:\Program Files\Mobogenie\DaemonProcess.exe','');
 QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','');
 QuarantineFile('g:\windows\in\winlоgоn.exe','');
 DeleteFile('g:\windows\in\winlоgоn.exe','32');
 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe','32');
 DeleteFile('C:\Users\9335~1\AppData\Local\Temp\9\GPUTemp.exe','32');
 DeleteFile('C:\Users\User4\Desktop\0BC4~1.EXE','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AnyProtect');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GPUTemp');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2632510862-1790622111-4058076748-1007\Software\Microsoft\Windows\CurrentVersion\Run','Desktop Lock Express');           
BC_ImportAll;
ExecuteSysClean;       
BC_Activate;
end.
 
Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O2 - BHO: Shopping Suggestion. - {e7e8ed77-2fba-4ec6-bc07-65de4de6709f} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files\Mobogenie\DaemonProcess.exe
O4 - HKLM\..\Run: [AnyProtect] C:\Program Files\AnyProtectEx\AnyProtect.exe
O4 - HKLM\..\Run: [GPUTemp] "C:\Users\9335~1\AppData\Local\Temp\9\GPUTemp.exe"
O4 - HKCU\..\Run: [NextLive] C:\Windows\system32\rundll32.exe "C:\Users\Администратор\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
 
 
Сделайте новые логи
 
 

  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Добрый вечер. Спасибо за подробный ответ как что делать, вроде справился кроме отправки запроса -

Архив карантин не могу в стандартной форме прикрепить, сначала ругался что пароль надо virus. Поменял пароль все равно не прикрепляет. Отправил запрос вместе ссылкой на хост все равно пришло автоматическое письмо что запрос пустой. myupy.ru/1613635be здесь архив с паролем virus

WIN-1WPTHCMPJYT_2014-10-16_18-40-41.zip

Ссылка на сообщение
Поделиться на другие сайты
 
  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
;uVS v3.83 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v383c
breg
 
zoo G:\WINDOWS\IN\WINLОGОN.EXE
zoo %SystemDrive%\USERS\USER1\НОВАЯ ПАПКА\WASPPACER.EXE
zoo %SystemDrive%\RECYCLE.BIN\UPDATER.EXE
zoo %SystemDrive%\USERS\USER3\PICTURES\SVCHOST.EXE
delall G:\WINDOWS\IN\WINLОGОN.EXE
zoo F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\WATASKTESTER.EXE
delall F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\WATASKTESTER.EXE
delall %SystemDrive%\USERS\USER1\НОВАЯ ПАПКА\WASPPACER.EXE
delall %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WASPPACER.EXE
delall %SystemDrive%\USERS\USER3\VIDEOS\WASPACE_3.11.1.4_FULL\WASPPACER.EXE
delall %SystemDrive%\RECYCLER\WASPPACER.EXE
delall %SystemDrive%\RECYCLE.BIN\WASPPACER.EXE
delall F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\WASPPACER.EXE
delall %SystemDrive%\RECYCLE.BIN\UPDATER.EXE
delall %SystemDrive%\USERS\USER3\PICTURES\SVCHOST.EXE
delall %SystemDrive%\RECYCLER\CSRSS.EXE
delall %SystemDrive%\USERS\USER4\DESKTOP\0BC4~1.EXE
del %SystemDrive%\USERS\USER7\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1C.ICO.LNK
zoo %SystemDrive%\USERS\KASSA\SAVED GAMES\NTPASSWORDER.EXE
delall %SystemDrive%\USERS\USER1\НОВАЯ ПАПКА\UPDATER.EXE
delall F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\UPDATER.EXE
zoo %SystemDrive%\USERS\KASSA\MUSIC\EXE32\WAAGENT.EXE
delall %SystemDrive%\USERS\KASSA\MUSIC\EXE32\WAAGENT.EXE
delall %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WAAGENT.EXE
delall %SystemDrive%\1ARHIV\WASPACE_3.11.2.6_FULL\WASPPACER.EXE
zoo %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WASUB.EXE
delall %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WASUB.EXE
zoo %SystemDrive%\USERS\USER7\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\4OE35LSD\32165[1].EXE
deldir  F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL
deldir %SystemDrive%\USERS\USER3\VIDEOS\WASPACE_3.11.1.4_FULL
deldir  %SystemDrive%\1ARHIV\WASPACE_3.11.2.6_FULL
czoo
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
  • После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл через данную форму
 
Сделайте новый лог uVS
 

После я включил защиту каспер чтото нашел поудалял

Что удалялось?

 

 

 

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

 

 
  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
;uVS v3.83 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v383c
breg
 
zoo G:\WINDOWS\IN\WINLОGОN.EXE
zoo %SystemDrive%\USERS\USER1\НОВАЯ ПАПКА\WASPPACER.EXE
zoo %SystemDrive%\RECYCLE.BIN\UPDATER.EXE
zoo %SystemDrive%\USERS\USER3\PICTURES\SVCHOST.EXE
delall G:\WINDOWS\IN\WINLОGОN.EXE
zoo F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\WATASKTESTER.EXE
delall F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\WATASKTESTER.EXE
delall %SystemDrive%\USERS\USER1\НОВАЯ ПАПКА\WASPPACER.EXE
delall %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WASPPACER.EXE
delall %SystemDrive%\USERS\USER3\VIDEOS\WASPACE_3.11.1.4_FULL\WASPPACER.EXE
delall %SystemDrive%\RECYCLER\WASPPACER.EXE
delall %SystemDrive%\RECYCLE.BIN\WASPPACER.EXE
delall F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\WASPPACER.EXE
delall %SystemDrive%\RECYCLE.BIN\UPDATER.EXE
delall %SystemDrive%\USERS\USER3\PICTURES\SVCHOST.EXE
delall %SystemDrive%\RECYCLER\CSRSS.EXE
delall %SystemDrive%\USERS\USER4\DESKTOP\0BC4~1.EXE
del %SystemDrive%\USERS\USER7\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1C.ICO.LNK
zoo %SystemDrive%\USERS\KASSA\SAVED GAMES\NTPASSWORDER.EXE
delall %SystemDrive%\USERS\USER1\НОВАЯ ПАПКА\UPDATER.EXE
delall F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\UPDATER.EXE
zoo %SystemDrive%\USERS\KASSA\MUSIC\EXE32\WAAGENT.EXE
delall %SystemDrive%\USERS\KASSA\MUSIC\EXE32\WAAGENT.EXE
delall %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WAAGENT.EXE
delall %SystemDrive%\1ARHIV\WASPACE_3.11.2.6_FULL\WASPPACER.EXE
zoo %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WASUB.EXE
delall %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WASUB.EXE
zoo %SystemDrive%\USERS\USER7\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\4OE35LSD\32165[1].EXE
deldir  F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL
deldir %SystemDrive%\USERS\USER3\VIDEOS\WASPACE_3.11.1.4_FULL
deldir  %SystemDrive%\1ARHIV\WASPACE_3.11.2.6_FULL
czoo
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
  • После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл через данную форму
 
Сделайте новый лог uVS
 
После я включил защиту каспер чтото нашел поудалял

Что удалялось?

 

 

 

 

К сожалению был в панике не запоминал точно. но троян

Файл сохранён как 141016_173309_ZOO_2014-10-16_21-24-41_54400155b3a5f.zip Размер файла 13068531 MD5 044621d4f225294d25f085d24bdc032b

 

KLAN-2063067959

Сделайте новый лог uVS
 

 

 

 

В прицепе , если конечно я правильно понял.

WIN-1WPTHCMPJYT_2014-10-16_21-35-55.7z

Ссылка на сообщение
Поделиться на другие сайты

 

 

К сожалению был в панике не запоминал точно. но троян

Сделайте скриншот найденных угроз в карантине. 

Ссылка на сообщение
Поделиться на другие сайты

 

 

 

К сожалению был в панике не запоминал точно. но троян

Сделайте скриншот найденных угроз в карантине. 

Журнал за неделю в прицепе

kasper.txt

Ссылка на сообщение
Поделиться на другие сайты

пробовали использовать?

 

http://support.kaspersky.ru/viruses/disinfection/2911

Попробовал он не дал результатов. Попробовал Rector результат в прицепе

RectorDecryptor.2.6.32.0_17.10.2014_12.15.26_log.txt

Ссылка на сообщение
Поделиться на другие сайты

Уточните какое расширение у зашифрованных файлов? 

Я ни бум бум, если честно. Как посмотреть не пойму. Информационная файловая база 1с она как приложение, отдельным файлом не посмотреть. ну или я просто не понимаю как. Я могу доступ на сервер вам открыть, если это поможет.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • MotherBoard
      От MotherBoard
      Программа позволяет разрабатывать, тестировать и отлаживать приложения прямо в веб-браузере без дополнительной установки ПО с помощью технологии 1С:Предприятие.Элемент. Это существенно упрощает взаимодействие с кодом приложения.
      На данном языке уже реализованы:
       - 1С: Шина
       - 1С: Кабинет Сотрудника
       - 1С: Персонал
      Сейчас можно бесплатно зарегистрироваться и пробовать  силы на новой технологии. Для регистрации нажмите сюда
      Источник
       
    • denis12345
      От denis12345
      Help me! сегодня взломали и подсадили шифровальщика BlackBit, файлы особо не важны, но срочно нужно восстановление базы 1С, вся работа предприятия парализована. Может кто-то уже сталкивался и расшифровывал, подскажите методы или ? Заранее спасибо!
    • Владимир Митин
      От Владимир Митин
      Добрый день.
      Компьютеры находятся в одном домене.
      Файлы на серверах зашифрованы на общих ресурсах - расшаренных папках.
      Бэкапы были на диске D.
       
      Файлы зашифрованы у пользователей на рабочих столах.
      Файлы на серверах - диск C, диск D и т.д.
       
      Файлы с FRST прикладываю.
      Зашифрованные файлы прикладываю.
      Тело вируса не обнаружено. Файла с запросом выкупа нет.
       
      FRST.txt Addition.txt Зашифрованные файлы.zip
    • Neo05
      От Neo05
      Взломали офисную винду, стояла 1С, вообще не понимаю что делать, как восстановить, помогите пожалуйста.
       
      Я не смог запуститьна том компе ничего, вставленная флешка была моментально заражена.  И вот заражённые файлы я вложил сюда во вложении
       
       
       
       
      FRST64.exe.id[B08CFBD2-3349].[johnhelper777@gmx.de].rar key.txt.id[B08CFBD2-3349].[johnhelper777@gmx.de].rar
    • baikal
      От baikal
      Добрый день,
      В январе после праздников одна из сотрудниц предприятия попросила открыть доступ к серверу, через сетевое окружение, на сервере был расшарен корневой каталог файловой базы 1С с возможностью изменения. Раньше она заходила через RDP. На самом сервере ни каких следов нет, кроме зашифрованных файлов корневого каталога 1С (кроме файлов 1С там находились документы Word, Excell для обмена). Все подозрения на ПК той самой сотрудницы, которой был открыт доступ через сетевое окружение. Её ПК после сканирования антивирусом Касперского подтвердил завирусованость ОС. Логи антивируса приложил в архив. Логи Farbar Recovery Scan Tool так же приложил.
      Вымогатель требование о выкупе не сообщил, только в названиях файла есть суффикс электронной почты ivakinjiin@dnmx.org расширение зашифрованного файла *.eitieTh1 при открытии зашифрованного файла winhex можно увидеть только нули, хоть объем файла соответствует не зашифрованному файлу. Возможно вымогатель зашифровал таким образом, что нельзя расшифровать любым способом.
      Если моя версия верна в плане того, что каталог с базой 1С был зашифрован через сетевое окружение, тогда как можно зашифровать файл 1С когда он занят самой программой (обычно бухгалтера не закрывают приложения). Логи сервера Безопасность были затерты от того числа, когда было произведено шифрование, по умолчанию в настройках установлено "Переписывать события при необходимости". На самом сервере нет антивируса. Вымогатель в основном шифровал папки 1С, остальное не трогал, его интересовало только 1С.
       
      да поможет, нам "бог сети"
      eitieTh1_18012022.rar

×
×
  • Создать...