Перейти к содержанию

Вирус зашифровал файлы

chaba
 Share Подписчики 1

Рекомендуемые сообщения

chaba

chaba 0

Опубликовано
Опубликовано

Здравствуйте!
На сервере стоит Смол Офис Секьюрити 3
сегодня обнаружил сообщение что базы данных 1с повреждены, антивирус отключен. в папках на сервере лежит текст:
Внимание! Все Ваши файлы зашифрованы!
Чтобы восстановить свои файлы и получить к ним доступ, 
свяжитесь с нами : super.v-lom@yandex.ru Вам ответят в течении суток.
У вас есть 3 попытки ввода кода. При превышении этого 
количества, все данные необратимо испортятся. Будьте 
внимательны при вводе кода! не пытайтесь самостоятельно расшифровать файлы это приведет к их полному уничтожению. также не пытайтесь копировать переносить или изменять файлы это их так же уничтожит .если будет желание эксперементируйте на не нужных Вам файлах ...

Что делать?

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 56
  • Created
  • Последний ответ

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Roman_Five

нужно карантин смотреть не через проводник, а в антивирусе.

mike 1

Здравствуйте!  Что удалялось?     Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.   Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника

Roman_Five

пробовали использовать?   http://support.kaspersky.ru/viruses/disinfection/2911

Posted Images

chaba

chaba 0

Опубликовано
  • Автор
Опубликовано

Добрый день!

Сегодня столкнулся с проблемой. Залез на сервер, а там отключенный антивирусник и сообщение : файл баз данных поврежден. Меня собственно 1с волнует. Во всех папках лежит текстовый файл такого содержания:

 

Внимание! Все Ваши файлы зашифрованы!
Чтобы восстановить свои файлы и получить к ним доступ, 
свяжитесь с нами : super.v-lom@yandex.ru  Вам ответят в течении суток.
У вас есть 3 попытки ввода кода. При превышении этого 
количества, все данные необратимо испортятся. Будьте 
внимательны при вводе кода! не пытайтесь самостоятельно расшифровать файлы это приведет к их полному уничтожению. также не пытайтесь копировать переносить или изменять файлы это их так же уничтожит .если будет желание эксперементируйте на не нужных Вам файлах ...
 
 
После я включил защиту каспер чтото нашел поудалял. проблема естественно осталась. что делать, господа?

CollectionLog-2014.10.16-15.56.zip

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 989

Опубликовано
Опубликовано (изменено)
Здравствуйте! 

 

 

После я включил защиту каспер чтото нашел поудалял

Что удалялось?

 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('g:\windows\in\winlоgоn.exe');
 QuarantineFile('C:\Users\User4\Desktop\0BC4~1.EXE','');
 QuarantineFile('C:\Users\9335~1\AppData\Local\Temp\9\GPUTemp.exe','');
 QuarantineFile('C:\Program Files\Mobogenie\DaemonProcess.exe','');
 QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','');
 QuarantineFile('g:\windows\in\winlоgоn.exe','');
 DeleteFile('g:\windows\in\winlоgоn.exe','32');
 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe','32');
 DeleteFile('C:\Users\9335~1\AppData\Local\Temp\9\GPUTemp.exe','32');
 DeleteFile('C:\Users\User4\Desktop\0BC4~1.EXE','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AnyProtect');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GPUTemp');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-2632510862-1790622111-4058076748-1007\Software\Microsoft\Windows\CurrentVersion\Run','Desktop Lock Express');           
BC_ImportAll;
ExecuteSysClean;       
BC_Activate;
end.
 
Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O2 - BHO: Shopping Suggestion. - {e7e8ed77-2fba-4ec6-bc07-65de4de6709f} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files\Mobogenie\DaemonProcess.exe
O4 - HKLM\..\Run: [AnyProtect] C:\Program Files\AnyProtectEx\AnyProtect.exe
O4 - HKLM\..\Run: [GPUTemp] "C:\Users\9335~1\AppData\Local\Temp\9\GPUTemp.exe"
O4 - HKCU\..\Run: [NextLive] C:\Windows\system32\rundll32.exe "C:\Users\Администратор\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
 
 
Сделайте новые логи
 
 

  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 
Изменено пользователем mike 1
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
chaba

chaba 0

Опубликовано
  • Автор
Опубликовано

Добрый вечер. Спасибо за подробный ответ как что делать, вроде справился кроме отправки запроса -

Архив карантин не могу в стандартной форме прикрепить, сначала ругался что пароль надо virus. Поменял пароль все равно не прикрепляет. Отправил запрос вместе ссылкой на хост все равно пришло автоматическое письмо что запрос пустой. myupy.ru/1613635be здесь архив с паролем virus

WIN-1WPTHCMPJYT_2014-10-16_18-40-41.zip

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 989

Опубликовано
Опубликовано (изменено)
 
  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
;uVS v3.83 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v383c
breg
 
zoo G:\WINDOWS\IN\WINLОGОN.EXE
zoo %SystemDrive%\USERS\USER1\НОВАЯ ПАПКА\WASPPACER.EXE
zoo %SystemDrive%\RECYCLE.BIN\UPDATER.EXE
zoo %SystemDrive%\USERS\USER3\PICTURES\SVCHOST.EXE
delall G:\WINDOWS\IN\WINLОGОN.EXE
zoo F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\WATASKTESTER.EXE
delall F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\WATASKTESTER.EXE
delall %SystemDrive%\USERS\USER1\НОВАЯ ПАПКА\WASPPACER.EXE
delall %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WASPPACER.EXE
delall %SystemDrive%\USERS\USER3\VIDEOS\WASPACE_3.11.1.4_FULL\WASPPACER.EXE
delall %SystemDrive%\RECYCLER\WASPPACER.EXE
delall %SystemDrive%\RECYCLE.BIN\WASPPACER.EXE
delall F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\WASPPACER.EXE
delall %SystemDrive%\RECYCLE.BIN\UPDATER.EXE
delall %SystemDrive%\USERS\USER3\PICTURES\SVCHOST.EXE
delall %SystemDrive%\RECYCLER\CSRSS.EXE
delall %SystemDrive%\USERS\USER4\DESKTOP\0BC4~1.EXE
del %SystemDrive%\USERS\USER7\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1C.ICO.LNK
zoo %SystemDrive%\USERS\KASSA\SAVED GAMES\NTPASSWORDER.EXE
delall %SystemDrive%\USERS\USER1\НОВАЯ ПАПКА\UPDATER.EXE
delall F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\UPDATER.EXE
zoo %SystemDrive%\USERS\KASSA\MUSIC\EXE32\WAAGENT.EXE
delall %SystemDrive%\USERS\KASSA\MUSIC\EXE32\WAAGENT.EXE
delall %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WAAGENT.EXE
delall %SystemDrive%\1ARHIV\WASPACE_3.11.2.6_FULL\WASPPACER.EXE
zoo %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WASUB.EXE
delall %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WASUB.EXE
zoo %SystemDrive%\USERS\USER7\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\4OE35LSD\32165[1].EXE
deldir  F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL
deldir %SystemDrive%\USERS\USER3\VIDEOS\WASPACE_3.11.1.4_FULL
deldir  %SystemDrive%\1ARHIV\WASPACE_3.11.2.6_FULL
czoo
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
  • После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл через данную форму
 
Сделайте новый лог uVS
 

После я включил защиту каспер чтото нашел поудалял

Что удалялось?

 

 

 

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
chaba

chaba 0

Опубликовано
  • Автор
Опубликовано

 

 
  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
;uVS v3.83 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v383c
breg
 
zoo G:\WINDOWS\IN\WINLОGОN.EXE
zoo %SystemDrive%\USERS\USER1\НОВАЯ ПАПКА\WASPPACER.EXE
zoo %SystemDrive%\RECYCLE.BIN\UPDATER.EXE
zoo %SystemDrive%\USERS\USER3\PICTURES\SVCHOST.EXE
delall G:\WINDOWS\IN\WINLОGОN.EXE
zoo F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\WATASKTESTER.EXE
delall F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\WATASKTESTER.EXE
delall %SystemDrive%\USERS\USER1\НОВАЯ ПАПКА\WASPPACER.EXE
delall %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WASPPACER.EXE
delall %SystemDrive%\USERS\USER3\VIDEOS\WASPACE_3.11.1.4_FULL\WASPPACER.EXE
delall %SystemDrive%\RECYCLER\WASPPACER.EXE
delall %SystemDrive%\RECYCLE.BIN\WASPPACER.EXE
delall F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\WASPPACER.EXE
delall %SystemDrive%\RECYCLE.BIN\UPDATER.EXE
delall %SystemDrive%\USERS\USER3\PICTURES\SVCHOST.EXE
delall %SystemDrive%\RECYCLER\CSRSS.EXE
delall %SystemDrive%\USERS\USER4\DESKTOP\0BC4~1.EXE
del %SystemDrive%\USERS\USER7\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1C.ICO.LNK
zoo %SystemDrive%\USERS\KASSA\SAVED GAMES\NTPASSWORDER.EXE
delall %SystemDrive%\USERS\USER1\НОВАЯ ПАПКА\UPDATER.EXE
delall F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL\UPDATER.EXE
zoo %SystemDrive%\USERS\KASSA\MUSIC\EXE32\WAAGENT.EXE
delall %SystemDrive%\USERS\KASSA\MUSIC\EXE32\WAAGENT.EXE
delall %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WAAGENT.EXE
delall %SystemDrive%\1ARHIV\WASPACE_3.11.2.6_FULL\WASPPACER.EXE
zoo %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WASUB.EXE
delall %SystemDrive%\USERS\PUBLIC\MUSIC\SAMPLE MUSIC\W\WASUB.EXE
zoo %SystemDrive%\USERS\USER7\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\4OE35LSD\32165[1].EXE
deldir  F:\INTEL\LOGS\PRIM\WASPACE_3.11.1.1_FULL
deldir %SystemDrive%\USERS\USER3\VIDEOS\WASPACE_3.11.1.4_FULL
deldir  %SystemDrive%\1ARHIV\WASPACE_3.11.2.6_FULL
czoo
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
  • После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл через данную форму
 
Сделайте новый лог uVS
 
После я включил защиту каспер чтото нашел поудалял

Что удалялось?

 

 

 

 

К сожалению был в панике не запоминал точно. но троян

Файл сохранён как 141016_173309_ZOO_2014-10-16_21-24-41_54400155b3a5f.zip Размер файла 13068531 MD5 044621d4f225294d25f085d24bdc032b

 

KLAN-2063067959

Сделайте новый лог uVS
 

 

 

 

В прицепе , если конечно я правильно понял.

WIN-1WPTHCMPJYT_2014-10-16_21-35-55.7z

Ссылка на сообщение
Поделиться на другие сайты
chaba

chaba 0

Опубликовано
  • Автор
Опубликовано

 

 

 

К сожалению был в панике не запоминал точно. но троян

Сделайте скриншот найденных угроз в карантине. 

Журнал за неделю в прицепе

kasper.txt

Ссылка на сообщение
Поделиться на другие сайты
chaba

chaba 0

Опубликовано
  • Автор
Опубликовано

пробовали использовать?

 

http://support.kaspersky.ru/viruses/disinfection/2911

Попробовал он не дал результатов. Попробовал Rector результат в прицепе

RectorDecryptor.2.6.32.0_17.10.2014_12.15.26_log.txt

Ссылка на сообщение
Поделиться на другие сайты
chaba

chaba 0

Опубликовано
  • Автор
Опубликовано

Уточните какое расширение у зашифрованных файлов? 

Я ни бум бум, если честно. Как посмотреть не пойму. Информационная файловая база 1с она как приложение, отдельным файлом не посмотреть. ну или я просто не понимаю как. Я могу доступ на сервер вам открыть, если это поможет.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • MirKraski
      Шифровальщик атаковал базы 1С
      От MirKraski
      Добрый день.
      ПК подвергся атаке шифровальщика. Пострадали базы 1С.
      Прилагаю примеры зашифрованных файлов и логи сканирования FanBar Recovery.
      data.rar
    • makcyta89
      Зашифрованы бд
      От makcyta89
      Прошу помочь были зашифрованы базы 1 с больше ничего не тронуто
      CollectionLog-2020.09.16-09.28.zip
    • shauramaxim
      Непонятный шифровальщик зашифровал 1С
      От shauramaxim
      30 декабря обнаружили что на сервере 1С (Windows 7) зашифрованы все базы в т ч бэкапы
      Просьба помочь с определением чем зашифровано и если возможно оказать помощь в расшифровке
       
      здесь оставлю один из зашифрованных файлов
      archive.zip
    • Meteg
      @cock.li.ver-CS 1.6.id-.fname-1Cv8.1CD.cs16
      От Meteg
      Добрый день, коварный вирус "@cock.li.ver-CS 1.6.id-.fname-1Cv8.1CD.cs16" съел 1с базу.
       
      Что делать, чтобы вирус не заполонил все сервера ?
      Как Расшифровать данные?
      Как определить источник заражения ? 
       
       
    • a.filatov
      Зашифровалась база 1С
      От a.filatov
      Добрый день. Сегодня утром на сервере, были помещены в зашифрованные rar архивы базы данных 1С и прочие файлы. В это же время, сетевой принтер на всей вложенной бумаге распечатал сообщения от взломщика (doc08628620181113092041.pdf во вложении) и на рабочем столе сервера появились текстовые файлики с инструкцией (Прочти!.txt). KVRT ничего не нашел, лог из AutoLogger и примеры зашифрованных архивов во вложении. Подскажите, пожалуйста, можно ли с этим что-то сделать?
      doc08628620181113092041.pdf
      Прочти!.txt
      CollectionLog-2018.11.13-16.27.zip
      audit.rar
      ConsUserData.rar
×
×
  • Создать...