Перейти к содержанию

Вирус зашифровал файлы


Рекомендуемые сообщения

Здравствуйте!
На сервере стоит Смол Офис Секьюрити 3
сегодня обнаружил сообщение что базы данных 1с повреждены, антивирус отключен. в папках на сервере лежит текст:
Внимание! Все Ваши файлы зашифрованы!
Чтобы восстановить свои файлы и получить к ним доступ, 
свяжитесь с нами : super.v-lom@yandex.ru Вам ответят в течении суток.
У вас есть 3 попытки ввода кода. При превышении этого 
количества, все данные необратимо испортятся. Будьте 
внимательны при вводе кода! не пытайтесь самостоятельно расшифровать файлы это приведет к их полному уничтожению. также не пытайтесь копировать переносить или изменять файлы это их так же уничтожит .если будет желание эксперементируйте на не нужных Вам файлах ...

Что делать?

Ссылка на комментарий
Поделиться на другие сайты

Добрый день!

Сегодня столкнулся с проблемой. Залез на сервер, а там отключенный антивирусник и сообщение : файл баз данных поврежден. Меня собственно 1с волнует. Во всех папках лежит текстовый файл такого содержания:

 

Внимание! Все Ваши файлы зашифрованы!
Чтобы восстановить свои файлы и получить к ним доступ, 
свяжитесь с нами : super.v-lom@yandex.ru  Вам ответят в течении суток.
У вас есть 3 попытки ввода кода. При превышении этого 
количества, все данные необратимо испортятся. Будьте 
внимательны при вводе кода! не пытайтесь самостоятельно расшифровать файлы это приведет к их полному уничтожению. также не пытайтесь копировать переносить или изменять файлы это их так же уничтожит .если будет желание эксперементируйте на не нужных Вам файлах ...
 
 
После я включил защиту каспер чтото нашел поудалял. проблема естественно осталась. что делать, господа?

CollectionLog-2014.10.16-15.56.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте! 

 

 

После я включил защиту каспер чтото нашел поудалял

Что удалялось?

 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('g:\windows\in\winlоgоn.exe');
 QuarantineFile('C:\Users\User4\Desktop\0BC4~1.EXE','');
 QuarantineFile('C:\Users\9335~1\AppData\Local\Temp\9\GPUTemp.exe','');
 QuarantineFile('C:\Program Files\Mobogenie\DaemonProcess.exe','');
 QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','');
 QuarantineFile('g:\windows\in\winlоgоn.exe','');
 DeleteFile('g:\windows\in\winlоgоn.exe','32');
 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe','32');
 DeleteFile('C:\Users\9335~1\AppData\Local\Temp\9\GPUTemp.exe','32');
 DeleteFile('C:\Users\User4\Desktop\0BC4~1.EXE','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AnyProtect');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GPUTemp');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2632510862-1790622111-4058076748-1007\Software\Microsoft\Windows\CurrentVersion\Run','Desktop Lock Express');           
BC_ImportAll;
ExecuteSysClean;       
BC_Activate;
end.
 
Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O2 - BHO: Shopping Suggestion. - {e7e8ed77-2fba-4ec6-bc07-65de4de6709f} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files\Mobogenie\DaemonProcess.exe
O4 - HKLM\..\Run: [AnyProtect] C:\Program Files\AnyProtectEx\AnyProtect.exe
O4 - HKLM\..\Run: [GPUTemp] "C:\Users\9335~1\AppData\Local\Temp\9\GPUTemp.exe"
O4 - HKCU\..\Run: [NextLive] C:\Windows\system32\rundll32.exe "C:\Users\Администратор\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
 
 
Сделайте новые логи
 
 

  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 
Изменено пользователем mike 1
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Добрый вечер. Спасибо за подробный ответ как что делать, вроде справился кроме отправки запроса -

Архив карантин не могу в стандартной форме прикрепить, сначала ругался что пароль надо virus. Поменял пароль все равно не прикрепляет. Отправил запрос вместе ссылкой на хост все равно пришло автоматическое письмо что запрос пустой. myupy.ru/1613635be здесь архив с паролем virus

WIN-1WPTHCMPJYT_2014-10-16_18-40-41.zip

Ссылка на комментарий
Поделиться на другие сайты

 
  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
;uVS v3.83 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v383c
breg
 
zoo G:\WINDOWS\IN\WINLОGОN.EXE
zoo %SystemDrive%\USERS\USER1\НОВАЯ ПАПКА\WASPPACER.EXE
zoo %SystemDrive%\RECYCLE.BIN\UPDATER.EXE
zoo %SystemDrive%\USERS\USER3\PICTURES\SVCHOST.EXE
delall G:\WINDOWS\IN\WINLОGОN.EXE
zoo F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\WATASKTESTER.EXE
delall F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\WATASKTESTER.EXE
delall %SystemDrive%\USERS\USER1\НОВАЯ ПАПКА\WASPPACER.EXE
delall %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WASPPACER.EXE
delall %SystemDrive%\USERS\USER3\VIDEOS\WASPACE_3.11.1.4_FULL\WASPPACER.EXE
delall %SystemDrive%\RECYCLER\WASPPACER.EXE
delall %SystemDrive%\RECYCLE.BIN\WASPPACER.EXE
delall F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\WASPPACER.EXE
delall %SystemDrive%\RECYCLE.BIN\UPDATER.EXE
delall %SystemDrive%\USERS\USER3\PICTURES\SVCHOST.EXE
delall %SystemDrive%\RECYCLER\CSRSS.EXE
delall %SystemDrive%\USERS\USER4\DESKTOP\0BC4~1.EXE
del %SystemDrive%\USERS\USER7\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1C.ICO.LNK
zoo %SystemDrive%\USERS\KASSA\SAVED GAMES\NTPASSWORDER.EXE
delall %SystemDrive%\USERS\USER1\НОВАЯ ПАПКА\UPDATER.EXE
delall F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\UPDATER.EXE
zoo %SystemDrive%\USERS\KASSA\MUSIC\EXE32\WAAGENT.EXE
delall %SystemDrive%\USERS\KASSA\MUSIC\EXE32\WAAGENT.EXE
delall %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WAAGENT.EXE
delall %SystemDrive%\1ARHIV\WASPACE_3.11.2.6_FULL\WASPPACER.EXE
zoo %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WASUB.EXE
delall %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WASUB.EXE
zoo %SystemDrive%\USERS\USER7\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\4OE35LSD\32165[1].EXE
deldir  F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL
deldir %SystemDrive%\USERS\USER3\VIDEOS\WASPACE_3.11.1.4_FULL
deldir  %SystemDrive%\1ARHIV\WASPACE_3.11.2.6_FULL
czoo
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
  • После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл через данную форму
 
Сделайте новый лог uVS
 

После я включил защиту каспер чтото нашел поудалял

Что удалялось?

 

 

 

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

 

 
  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
;uVS v3.83 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v383c
breg
 
zoo G:\WINDOWS\IN\WINLОGОN.EXE
zoo %SystemDrive%\USERS\USER1\НОВАЯ ПАПКА\WASPPACER.EXE
zoo %SystemDrive%\RECYCLE.BIN\UPDATER.EXE
zoo %SystemDrive%\USERS\USER3\PICTURES\SVCHOST.EXE
delall G:\WINDOWS\IN\WINLОGОN.EXE
zoo F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\WATASKTESTER.EXE
delall F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\WATASKTESTER.EXE
delall %SystemDrive%\USERS\USER1\НОВАЯ ПАПКА\WASPPACER.EXE
delall %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WASPPACER.EXE
delall %SystemDrive%\USERS\USER3\VIDEOS\WASPACE_3.11.1.4_FULL\WASPPACER.EXE
delall %SystemDrive%\RECYCLER\WASPPACER.EXE
delall %SystemDrive%\RECYCLE.BIN\WASPPACER.EXE
delall F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\WASPPACER.EXE
delall %SystemDrive%\RECYCLE.BIN\UPDATER.EXE
delall %SystemDrive%\USERS\USER3\PICTURES\SVCHOST.EXE
delall %SystemDrive%\RECYCLER\CSRSS.EXE
delall %SystemDrive%\USERS\USER4\DESKTOP\0BC4~1.EXE
del %SystemDrive%\USERS\USER7\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1C.ICO.LNK
zoo %SystemDrive%\USERS\KASSA\SAVED GAMES\NTPASSWORDER.EXE
delall %SystemDrive%\USERS\USER1\НОВАЯ ПАПКА\UPDATER.EXE
delall F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\UPDATER.EXE
zoo %SystemDrive%\USERS\KASSA\MUSIC\EXE32\WAAGENT.EXE
delall %SystemDrive%\USERS\KASSA\MUSIC\EXE32\WAAGENT.EXE
delall %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WAAGENT.EXE
delall %SystemDrive%\1ARHIV\WASPACE_3.11.2.6_FULL\WASPPACER.EXE
zoo %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WASUB.EXE
delall %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WASUB.EXE
zoo %SystemDrive%\USERS\USER7\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\4OE35LSD\32165[1].EXE
deldir  F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL
deldir %SystemDrive%\USERS\USER3\VIDEOS\WASPACE_3.11.1.4_FULL
deldir  %SystemDrive%\1ARHIV\WASPACE_3.11.2.6_FULL
czoo
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
  • После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл через данную форму
 
Сделайте новый лог uVS
 
После я включил защиту каспер чтото нашел поудалял

Что удалялось?

 

 

 

 

К сожалению был в панике не запоминал точно. но троян

Файл сохранён как 141016_173309_ZOO_2014-10-16_21-24-41_54400155b3a5f.zip Размер файла 13068531 MD5 044621d4f225294d25f085d24bdc032b

 

KLAN-2063067959

Сделайте новый лог uVS
 

 

 

 

В прицепе , если конечно я правильно понял.

WIN-1WPTHCMPJYT_2014-10-16_21-35-55.7z

Ссылка на комментарий
Поделиться на другие сайты

 

 

К сожалению был в панике не запоминал точно. но троян

Сделайте скриншот найденных угроз в карантине. 

Ссылка на комментарий
Поделиться на другие сайты

 

 

 

К сожалению был в панике не запоминал точно. но троян

Сделайте скриншот найденных угроз в карантине. 

Журнал за неделю в прицепе

kasper.txt

Ссылка на комментарий
Поделиться на другие сайты

пробовали использовать?

 

http://support.kaspersky.ru/viruses/disinfection/2911

Попробовал он не дал результатов. Попробовал Rector результат в прицепе

RectorDecryptor.2.6.32.0_17.10.2014_12.15.26_log.txt

Ссылка на комментарий
Поделиться на другие сайты

Уточните какое расширение у зашифрованных файлов? 

Я ни бум бум, если честно. Как посмотреть не пойму. Информационная файловая база 1с она как приложение, отдельным файлом не посмотреть. ну или я просто не понимаю как. Я могу доступ на сервер вам открыть, если это поможет.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • orbita06
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • zsvnet
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
    • itman
      Автор itman
      Добрый день всем! Хочу поведать вам всем поучительную историю как делать НЕ НАДО!!! В апреле месяце подцепили вирус -шифровальщик! Утром пришли  пользователи, а там все зашифровано на 3 севаках и 2х локалках на которых была расшаренная какая-то папка!! печаль !!! ну а что делать?! благо сисадмин делал копию раз в месяц акрониксом всех серверов, а бухгалтер помимо всего копии на внешний hdd каждое утро и хдд этот хранил в сейфе! (рекомендую всем бухгалтерам так делать!!!) и вот утром сисадмину звонок: -ААА!! Все пропало!! Что делать???? ничего не работает!!!  Помоги!!! и проч))) ну что проснулся от и начал смотреть что все таки произошло! на каждом из серваков при запуске вот такой текст: Encrypted by trust
       Email us for recovery: Rdpdik6@gmail.com
       In case of no answer, send to this email: Rdpp771@gmail.com
      Your unqiue ID:  писать не буду.
       Почти  все файлы (кроме *.dll и тому подобных и системных зашифрованы и переименованы по формуле имя.расширение. [Rdpdik6@gmail.com].lockedfile) и в каждой папке файлик txt c вот таким содержимым:
       Email 1:
      Rdpdik6@gmail.com
      Email 2:
      Rdpp771@gmail.com
      Send messages to both emails at the same time
      So send messages to our emails, check your spam folder every few hours
      ID: эту строчку сотру на всякий случай)
      If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
      Then send us a message with a new email
      Ну сисадмин начал заниматься восстановлением копии то есть пусть месячные но все же копии а базы 1с так вообще вчерашние!!!  (а это самое главное!) прежде чем все восстанавливать сделал копию того что зашифровали а мало ли)) ну и параллельно всё-таки решил он написать этим недо людям (медикам на букву П), что так и так копии есть ущерб не большой на то что пока будет восстанавливаться копия уйдет время давайте разойдемся все миром и в итоге договорились на 30 баксах. Сисадмин им перевел на их кошелек, а они его кинули ни хрена они ему не прислали!!!!
      Прошло какое-то время (месяца полтора!) и тут пользователи посмотрели что у одного там пара доков осталась в общей папке уже после того как делалась копия у другого тоже какие-то доки  у третьего вообще фото с корпоратива и подумали они что всё-таки давай заплатим этим  людям нетрадиционной ориентации) сумму которую они просят! Скинулись толпой. Вот на переговоры опять отправили сисадмина (как жаль его)! Опять шли переговоры пару дней а то и больше ну вроде нашли они компромисс с шантажистами в размере 250$ те опять прислали адрес куда переводить деньги причем второй раз без гарантий! Типа из всех гарантий попросили прислать любой зашифрованный файл не более мегабайта и они покажут что всё-таки могут расшифровать. Отправили им какой-то pdf они в ответ скрин файла только весь замазанный видно только пару слов по которым надо только больше догадываться! По итогу  Он им опять перевел общий банк:
      Получаете:
      200.0813 Tether TRC20 USDT
      На счет:
      TBgx7szAXYNSwPJz1Ama2K85kTXrCcsnG1
       
      И? что вы думаете? Эти деятели пишут:
      Sinior (это ник в телеге одного из шантажистов )
      Deposit $50
      Sinior
      I won't give you the key until you pay me $50.
      Типа вы не доплатили 50 баксов!! Вот так уважаемые читатели этого поста ни в коем случае не вздумайте им платить так как они вам все равно ничего не пришлют!!! А деньги вы потеряете!!! И ни одного файла не расшифруете там рассчитано не на то чтоб найти компромисс а на то чтоб выдурить с вас побольше денег!!!!!!!
      P.S.    Делайте резервные копии и храните их на внешних hhd  и не оставляйте их подключенными к компьютеру! Сделал копию и отключай да не удобно зато надежно!!!! Всем удачи!!!!
       
      Сообщение от модератора thyrex Перенесено из раздела по шифровальщикам
       
    • tamerlan
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • Mep3aBEz
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
×
×
  • Создать...