Перейти к содержанию

Шифровальщик 1C-FILES

kiso
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

Эти файлы заархивируйте с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание

Цитата

 

2024-12-27 11:45 - 2024-12-26 23:13 - 001948456 _____ C:\WWirmQo4MjbuCmDCtyHr8SRVKWLyNeRFmV1qPHfenmI=1C-files.exe
2024-12-27 11:40 - 2024-12-27 11:17 - 001948456 _____ C:\XRb8_fBT2Teo1w1apEvUEeZgZFaxl75WeWLtN8uE9Ss=1C-files.exe
2024-12-27 11:29 - 2024-12-27 11:17 - 001948456 _____ C:\Users\administrator\Downloads\XRb8_fBT2Teo1w1apEvUEeZgZFaxl75WeWLtN8uE9Ss=1C-files.exe

2024-12-27 00:30 - 2024-12-26 23:13 - 001948456 _____ C:\Users\administrator\Downloads\WWirmQo4MjbuCmDCtyHr8SRVKWLyNeRFmV1qPHfenmI=1C-files.exe

 

 

 

Изменено пользователем safety
kiso

kiso

Опубликовано
  • Автор
Опубликовано

Это дешифраторы, файлы частично восстановлены, но на зараженных машинах не рабоотает служба бэкапирования veeam и mssql server

safety

safety

Опубликовано
Опубликовано
3 минуты назад, kiso сказал:

Это дешифраторы, файлы частично восстановлены,

Загрузите таки эти файлы. Будут полезны для анализа. Скрипт очистки напишу чуть позже

kiso

kiso

Опубликовано
  • Автор
Опубликовано (изменено)

ссылка удалена

Изменено пользователем safety
файлы скопированы, ссылка удалена
safety

safety

Опубликовано
Опубликовано

Спасибо.

 

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer_Service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_w32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_x64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-12-27 18:02 - 2024-12-26 19:53 - 021050672 _____ (Famatech Corp. ) C:\Users\administrator\Downloads\Advanced_IP_Scanner_2.5.4594.1.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите, пожалуйста, после перезагрузки заработали указанные вами службы?

kiso

kiso

Опубликовано
  • Автор
Опубликовано

Да, всё ок, только после применения скрипта отключился удаленный доступ. Пришлось включать вручную, благо что я на виртуальной машине это делал.

 

 

Я поторопился, служба veeam запустилась, но бэкапы не заработали, судя по всему ругаются на другую службу C:\Windows\system32\vssvc.exe, видимо шифровальщик и её затронул. Можно как-то помочь мне?

 

 

safety

safety

Опубликовано
Опубликовано (изменено)

Vssvc - служба теневого копирования - возможна служба отключена шифровальщиком, проверьте статус службы.

 

Цитата

Управляет и реализует теневые копии томов, используемые для резервного копирования и других целей. Если эта служба остановлена, теневые копии будут недоступны для резервного копирования, и резервное копирование может завершиться неудачно. Рекомендуется оставить для этой службы значение «Вручную».

 

Изменено пользователем safety
kiso

kiso

Опубликовано
  • Автор
Опубликовано

Да-да, её реально шифровальщик отключил, включил вручную всё заработало, спасибо)

  • 2 недели спустя...
Azward

Azward

Опубликовано
Опубликовано

Здравствуйте. Столкнулись с тем же вирусом. Я так понимаю удалось расшифровать файлы? Возможно как нибудь поделиться дешифратором?

safety

safety

Опубликовано
Опубликовано (изменено)
В 09.01.2025 в 08:00, Azward сказал:

Столкнулись с тем же вирусом

Создайте отдельную тему в данном разделе.

Каждый дешифратор с уникальным ключом, не подойдет другому пользователю.

---------------

Еще раз перепроверил файлы kiso:

Из двух дешифраторов к файлам из вложения подошел второй дешифратор.

2024-12-27 11:40 - 2024-12-27 11:17 - 001948456 _____ C:\XRb8_fBT2Teo1w1apEvUEeZgZFaxl75WeWLtN8uE9Ss=1C-files.exe

Цитата

id: XRb8_fBT2Teo1w1apEvUEeZgZFaxl75WeWLtN8uE9Ss
encryption marker: OK
original file size: 122368
encryption percent: 2
version: 3
footer size: 82
% for files [MB]: 2
mode: solid

т.е. часть файлов была зашифрована одним ключом, часть файлов другим, id, указанный в записке о выкупе из вложения, соответствует дешифратору:

2024-12-27 11:45 - 2024-12-26 23:13 - 001948456 _____ C:\WWirmQo4MjbuCmDCtyHr8SRVKWLyNeRFmV1qPHfenmI=1C-files.exe

 

Изменено пользователем safety
  • safety закрыл тема
  • safety открыто и закрыто это тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ladomir
      Шифровальщик .s25ultra1tb-jz3Zxkv2kRluRJ3YFRHJdz8IKvrk3Q9U3W5Wm_kkF2Y
      Автор Ladomir
      добрый не добрый день! Помогите пожалкйста расшифровать хотя бы БД от 1с. Утром проснулись - все на компе заменено расширением с этим файлом. Прикрепляю примеры! Пожалуйста помогите


      примеры.rar
    • СИСТЕМЩИК
      Зашифровались файлы с расширением ELPY
      Автор СИСТЕМЩИК
      Зашифровались файлы. Прошу помочь
      FRST.txt Зашифрованные файлы(virus).xlsx.rar
    • Лëха
      Шифровальщик ELPY
      Автор Лëха
      Добрый день.
      Прошу помочь, у меня также шифровальщик ELPY. Первый обнаруженный ПК был заражен 13.01.2026 в промежуток с 1 до 4 часов ночи. По нему пока кроме фото информации никакой дать не могу, нет доступа к ПК (только завтра). Второй ПК был обнаружен на днях, но зашифрован он частично также 13 числа в тот же промежуток времени, проверка антивирусом ничего не нашла, ПК работает в штатном режиме. На первом ПК, если я запущу FRST проверку, на на USB накопителе не перенесу вирус на другую машину для оправки результатов сканирования? Какие мои дальнейшие действия? За ранее спасибо.

    • albeg
      По всей видимости тоже elpy
      Автор albeg
      Добрый день
      помогите пожалуйста по всей видимости тоже elpy, через RDP 24.01
      Логи FRST, примеры файлов , записку прикрепил.
      Заранее благодарен
      123_2.jpg.zip DECRYPT_FILES.txt Addition.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Игорь Крайнев
      зашифровали базы 1с на сервере
      Автор Игорь Крайнев
      заразили компьютер и с него по rdp подключились к серверу с базами 1с и всё зашифровали
      на сервере был установлен лицензионный Kaspersky Endpoint Security 12, у него удалили лицензию и он перестал работать
      вероятно удалось вычислить и саму программу шифровальщика и сделать дамп процесса через processhacker
      Addition.txt CRYPT_FILES.zip FRST.txt
×
×
  • Создать...