Перейти к содержанию

Шифровальщик 1C-FILES

kiso
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

Эти файлы заархивируйте с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание

Цитата

 

2024-12-27 11:45 - 2024-12-26 23:13 - 001948456 _____ C:\WWirmQo4MjbuCmDCtyHr8SRVKWLyNeRFmV1qPHfenmI=1C-files.exe
2024-12-27 11:40 - 2024-12-27 11:17 - 001948456 _____ C:\XRb8_fBT2Teo1w1apEvUEeZgZFaxl75WeWLtN8uE9Ss=1C-files.exe
2024-12-27 11:29 - 2024-12-27 11:17 - 001948456 _____ C:\Users\administrator\Downloads\XRb8_fBT2Teo1w1apEvUEeZgZFaxl75WeWLtN8uE9Ss=1C-files.exe

2024-12-27 00:30 - 2024-12-26 23:13 - 001948456 _____ C:\Users\administrator\Downloads\WWirmQo4MjbuCmDCtyHr8SRVKWLyNeRFmV1qPHfenmI=1C-files.exe

 

 

 

Изменено пользователем safety
kiso

kiso

Опубликовано
  • Автор
Опубликовано

Это дешифраторы, файлы частично восстановлены, но на зараженных машинах не рабоотает служба бэкапирования veeam и mssql server

safety

safety

Опубликовано
Опубликовано
3 минуты назад, kiso сказал:

Это дешифраторы, файлы частично восстановлены,

Загрузите таки эти файлы. Будут полезны для анализа. Скрипт очистки напишу чуть позже

kiso

kiso

Опубликовано
  • Автор
Опубликовано (изменено)

ссылка удалена

Изменено пользователем safety
файлы скопированы, ссылка удалена
safety

safety

Опубликовано
Опубликовано

Спасибо.

 

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer_Service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_w32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_x64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-12-27 18:02 - 2024-12-26 19:53 - 021050672 _____ (Famatech Corp. ) C:\Users\administrator\Downloads\Advanced_IP_Scanner_2.5.4594.1.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите, пожалуйста, после перезагрузки заработали указанные вами службы?

kiso

kiso

Опубликовано
  • Автор
Опубликовано

Да, всё ок, только после применения скрипта отключился удаленный доступ. Пришлось включать вручную, благо что я на виртуальной машине это делал.

 

 

Я поторопился, служба veeam запустилась, но бэкапы не заработали, судя по всему ругаются на другую службу C:\Windows\system32\vssvc.exe, видимо шифровальщик и её затронул. Можно как-то помочь мне?

 

 

safety

safety

Опубликовано
Опубликовано (изменено)

Vssvc - служба теневого копирования - возможна служба отключена шифровальщиком, проверьте статус службы.

 

Цитата

Управляет и реализует теневые копии томов, используемые для резервного копирования и других целей. Если эта служба остановлена, теневые копии будут недоступны для резервного копирования, и резервное копирование может завершиться неудачно. Рекомендуется оставить для этой службы значение «Вручную».

 

Изменено пользователем safety
kiso

kiso

Опубликовано
  • Автор
Опубликовано

Да-да, её реально шифровальщик отключил, включил вручную всё заработало, спасибо)

  • 2 недели спустя...
Azward

Azward

Опубликовано
Опубликовано

Здравствуйте. Столкнулись с тем же вирусом. Я так понимаю удалось расшифровать файлы? Возможно как нибудь поделиться дешифратором?

safety

safety

Опубликовано
Опубликовано (изменено)
В 09.01.2025 в 08:00, Azward сказал:

Столкнулись с тем же вирусом

Создайте отдельную тему в данном разделе.

Каждый дешифратор с уникальным ключом, не подойдет другому пользователю.

---------------

Еще раз перепроверил файлы kiso:

Из двух дешифраторов к файлам из вложения подошел второй дешифратор.

2024-12-27 11:40 - 2024-12-27 11:17 - 001948456 _____ C:\XRb8_fBT2Teo1w1apEvUEeZgZFaxl75WeWLtN8uE9Ss=1C-files.exe

Цитата

id: XRb8_fBT2Teo1w1apEvUEeZgZFaxl75WeWLtN8uE9Ss
encryption marker: OK
original file size: 122368
encryption percent: 2
version: 3
footer size: 82
% for files [MB]: 2
mode: solid

т.е. часть файлов была зашифрована одним ключом, часть файлов другим, id, указанный в записке о выкупе из вложения, соответствует дешифратору:

2024-12-27 11:45 - 2024-12-26 23:13 - 001948456 _____ C:\WWirmQo4MjbuCmDCtyHr8SRVKWLyNeRFmV1qPHfenmI=1C-files.exe

 

Изменено пользователем safety
  • safety закрыл тема
  • safety открыто и закрыто это тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Andrey25112025
      Trojan.Encoder
      Автор Andrey25112025
      Здравствуйте. Прошу рассмотреть возможность расшифровать базы 1С на коммерческой основе, файлы зашифрованы в октябре 2024г. Ниже ссылка на два зашифрованных файла. https://disk.yandex.ru/d/KvsLkCD2K-ttNg
      https://disk.yandex.ru/d/LeB1EqVX7NOGJA
       
    • МаксимБ
      BACHOKTECHET Шифровальщик
      Автор МаксимБ
      Шифровальщик парализовал работу сервера терминалов. В реестре нашел записи, удалил их сразу.
      notepad.exe "C:\Users\Administrator\AppData\Local\README_SOLVETHIS.txt"
      "C:\Users\Administrator\AppData\Local\194E1F27-9FC8-0395-4FCD-F9086C4C4FA6\BACHOKTECHET.exe" 
      Прошу помощи в расшифровке.
      virus.zip Addition.txt FRST.txt
    • Елена Окишева
      Касперский обнаружил вирус HEUR:Trojan.Script.NetSup.gen, зашифровавший все документы
      Автор Елена Окишева
      Результаты дополнительного сканирования Farbar Recovery Scan Tool (x64) Версия: 11-10-2025
       
      Сообщение от модератора thyrex Перенесено из раздела Компьютерная помощь
      HowToRestoreFiles.txt
    • CrazyBlack
      Поймал шифровальщик forumkasperskyclubru@msg.ws
      Автор CrazyBlack
      Поймал шифровальщик, зашифровал все базы данных 1с  с подписью forumkasperskyclubru@msg.ws , 1Cv8.1CD.id[14F9299A-3398].[datastore@cyberfear.com].Elbie.ID-13A55AA4-1122-forumkasperskyclubru@msg.ws. Прикрепляю архив с зашифрованным файлом, логи с FRST. Инструкцию вымогателя не нашел. Прошу помочь 
      virus.rar Addition_15-10-2025 15.26.45.txt FRST_15-10-2025 15.14.31.txt
    • alexeich
      Поймали шифровальщик Mimic/N3ww4v3
      Автор alexeich
      Помогите, аналогичная ситуация
       
      Сообщение от модератора mike 1 Часть сообщений вынесено в новую тему  
      FRST.txtAddition.txt
      MIMIC_LOG.txt
×
×
  • Создать...