primely Опубликовано 6 марта Share Опубликовано 6 марта Добрый день. У меня сегодня взломали сервер с 1С. Все файлы зашифровались в .PE32S. Огромная просьба помочь с решением данной проблемы. Прикрепляю скрины с зашифрованными файлами. Во вложении несколько зашифрованных файлов и записка о выкупе в архиве без пароля, а также логи FRST. PE32S.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 6 марта Share Опубликовано 6 марта Выполните очистку системы с перезагрузкой Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: () [Файл не подписан] C:\Users\rmk\Desktop\Pe32Cleaner-Test1.exe () [Файл не подписан] C:\Users\rmk\Desktop\Pe32-v4.1.1.exe GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ 2025-03-06 06:32 - 2025-03-06 06:32 - 000001036 _____ C:\README.txt 2025-03-06 06:25 - 2025-03-06 06:25 - 000000000 ____D C:\ProgramData\IObit 2025-03-06 06:25 - 2025-03-06 06:25 - 000000000 ____D C:\Program Files (x86)\IObit Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
primely Опубликовано 6 марта Автор Share Опубликовано 6 марта https://disk.yandex.ru/d/UcLOIaRTrO36bw Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 6 марта Share Опубликовано 6 марта (изменено) Это файлы мы только выгрузили из процессов () [Файл не подписан] C:\Users\rmk\Desktop\Pe32Cleaner-Test1.exe () [Файл не подписан] C:\Users\rmk\Desktop\Pe32-v4.1.1.exe -------- [31132] C:\Users\rmk\Desktop\Pe32Cleaner-Test1.exe => процесс успешно завершён. [8792] C:\Users\rmk\Desktop\Pe32-v4.1.1.exe => процесс успешно завершён. Заархивируйте их с паролем virus, добавьте архив в ваше сообщение. Изменено 6 марта пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
primely Опубликовано 6 марта Автор Share Опубликовано 6 марта Desktop.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 6 марта Share Опубликовано 6 марта Папка с ключами возможно будет необходима на случай если будет доступен дешифратор. Пока мало информации по данному типу шифровальщика. возможно, скоро мы увидим новые атаки с этим типом. #PE32: https://virusscan.jotti.org/ru-RU/filescanjob/qfg3g5hd73 Имеет смысл сохранить важные зашифрованные документы, возможно в будущем расшифровка станет возможной. Файлы *pe32*.exe удалите из папки Desktop + проверьте ЛС. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти