Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Пишу на прямую сюда потому что не смог подгрузить фалы к заявке из личного кабинета

Прошу помощи в борьбе с злоумышленниками зашифровавшими файлы на сервере 1С

ОС Windows Server 2003 R2 Enterprise x86

Антивирус Касперского 6.0 R2 для Windows Servers с актуальными базами

После шифрования остались файлы с расширением RR0D и текстовый файл с почтовым адресом rr0d@riseup.net и начальной инструкцией образцы файлов прикреплены к теме, надеюсь на помощь в сложившейся ситуаций

Зашифрованные файлы.7z

ПРОЧТИ_МЕНЯ.txt

Опубликовано

Все как всегда. Не удивительно, что к вам залезли удаленно и залезут еще раз если не примите мер.

 

 

 

  1. Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.
Если у вас установлены архиваторы
WinRAR
или
7-Zip
, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
"Да"
.

Опубликовано

Кидаю вам дешифратор может в будущем кому не будь и поможет

 

Биткоины зачислились. Спасибо.

Дешифратор в прикрепленных файлах, он в архиве, пароль на архив - имя
архива (он же Ваш код для разблокировки (7 цифр)).
Дешифратор в архиве 7zip, открыть его можно архиватором 7zip -
http://www.7-zip.org/

Перед расшифровкой:

1. выключите антивирус!
    (а лучше удалите его на время - так как даже в выключенном состоянии
служба антивируса работает и может блокировать дешифратор)
    Дешифратор не склеен ни с чем, можете не волноваться. После
дешифровки файлов проверите антивирусом компьютер и убедитесь, что мы
Вас не обманули.

2. - Выйдите со всех не используемых учетных записей на компьютере.

3. - завершите все процессы, которые могут обращаться к файлам -
бекаперы, 1с, индексация файлов, остановите SQL сервер..
    (если такие висят в диспетчере файлов)

4. - Обязательно сделайте бекап важных зашифрованных файлов, на флешку
или жесткий диск, перед запуском дешифратора - отсоедините
флешку/жесткий диск с бекапом от компьютера.
    (вирус проверен и файлы не портит, но Вы можете не заметить
"висячий" процесс, какого-либо приложения, который может помешать
правильной дешифровке файлов).

      Если во время дешифровки к файлам будет обращение от приложения -
расширение уберется, а сами файлы останутся зашифрованными, придется
повторять все с начала, но перед этим нужно будет самим добавлять
расширение или скопировать зашифрованные файлы из бекапа.

Расшифровка может длиться долго, несколько часов, в зависимости от
загруженности компьютера и количества файлов.

Процесс расшифровки:

1. Вам нужно скачать архив с дешифратором , разархивировать его в любое
место (допустим на рабочий стол) запустить его.
   Если у вас Windows7/Windows server 2008 - запустите дешифратор через
контекстное меню (правую кнопку мыши на дешифраторе -> запустить от
имени Администратора).
 Никаких других действий Вам не придется предпринимать - вводить коды
для дешифровки, удалять текстовые сообщения с требованием о
вымогательстве - все это сделает за Вас дешифратор. Компьютер вернется к
исходному состоянию до заражения.
   (Дешифратор - в архиве, название состоит из Вашего номера.7z,
дешифратор - номер_RR0D.exe).

2. Когда запустите дешифратор - на экране ничего не будет происходить,
расшифровка проходит в фоновом режиме, увидеть что работает дешифратор
можно в диспетчере задач -> процессы -> RR0D.exe после расшифровки
появится сообщение, что файлы расшифрованы, нажмите ОК.
   (окно с сообщением автоматически закроется).

Собственно ничего сложного. Если что-то сделали не так - повторяете все
с начала.

После расшифровки или во время неё, у Вас могут возникнуть вопросы -
задавайте, этот почтовый ящик работает и постоянно проверяется на
наличие новых писем, окажем всю необходимую поддержку.

8795804.7z

  • Спасибо (+1) 1
Опубликовано

Сервер чистый. Заглушек не оставили.

 

 

Антивирус Касперского 6.0 для Windows Servers (HKLM\...\{1B419CE6-A1AA-4207-8581-A414BE9C7B85}) (Version: 6.0.4.1424 - Лаборатория Касперского)

 

1. Начну я с антивируса, который уже снят с поддержки. Его обновляйте.

 

2. На всех учетных записях меняйте пароли, лишние учетные записи удаляйте.

 

 

Internet Explorer Version 6 (Default browser: IE)

 

3. Не будете ставить обновления на сервер, будете всегда страдать от таких вот "бизнесменов", которые ломают уязвимые серверы.

 

4. Стандартный порт 3389 у RDP меняйте на другой. У Radmin тоже меняйте его.

 

5. Настройте ограничения по подключению по RDP в пределах локальной сети, либо заданного диапазона IP адресов.

 

 

 

 

Опубликовано

Сервер готовлю новый, РДП будет только по ВПН через прокси сервер

Опубликовано

Если на сервер не будут ставятся заплатки, то все равно залезут. 

  • 1 месяц спустя...
Опубликовано

Помогите! та же беда.   Не могу скачать выложенный тут дешифратор.

Опубликовано

Помогите! та же беда.   Не могу скачать выложенный тут дешифратор.

Он вам не подойдет скорее всего. Создайте свою тему.

  • 3 недели спустя...
Опубликовано

поймал точно такой же шифратор, как можно скачать архив с дешифратором?

Опубликовано

Сегодня ночью случилась такая же беде помогите хоть чем то если у кого то есть уже опыт...

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Иван Сецовский
      Автор Иван Сецовский
      Можете мне тоже помочь?
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы Addition.txt
      FRST.txt
    • владVC11
      Автор владVC11
      Здравствуйте, не могли бы вы помочь раскодировать файлы на съёмном носителе (диске)?
    • Jenechka2012
      Автор Jenechka2012
      ПОМОГИТЕ ПОЖАЛУЙСТА! Не знаю что делать.... нигде ничего найти не могу, как это исправить. 
       
       # AdwCleaner v5.013 - Отчёт создан 13/10/2015 в 17:02:00
      # Обновлено 09/10/2015 by Xplode
      # База данных : 2015-10-09.3 [Сервер]
      # Операционная система : Windows 7 Home Basic Service Pack 1 (x86)
      # Пользователь : Мегафон - MEGAFON
      # Запущено из : C:\Users\Мегафон\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E2V253GF\adwcleaner_5.013.exe
      # Настройка : Очистка
      # помощь : http://toolslib.net/forum
       
      ***** [ Службы ] *****
       
       
      ***** [ Папки ] *****
       
      [-] Папка Удалено : C:\ProgramData\Media Get LLC
      [#] Папка Удалено : C:\ProgramData\mntemp
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Local\Media Get LLC
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Local\MediaGet2
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Media Get LLC
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\staged\yasearch@yandex.ru
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\staged\vb@yandex.ru
       
      ***** [ Файлы ] *****
       
      [-] Файл Удалено : C:\Users\Мегафон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk
       
      ***** [ DLLs ] *****
       
       
      ***** [ Ярлыки ] *****
       
       
      ***** [ Запланированные задания ] *****
       
       
      ***** [ Реестр ] *****
       
      [-] Ключ Удалено : HKCU\Software\Media Get LLC
      [-] Ключ Удалено : HKCU\Software\MediaGet
      [-] Ключ Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MediaGet
       
      ***** [ Веб браузеры ] *****
       
       
      *************************
       
      :: Настройки Winsock очищены
       
      ########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [1665 байт] ##########
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы
    • ScorpOfRus
      Автор ScorpOfRus
      Всем привет
      Пришло письмо на почту открыл его и соответственно получил
      зашифрованные файлы
      Файл шифровальщика сохранился
      Лог прикрепил
      CollectionLog-2015.10.04-17.08.zip
    • Алексей Нечуйветер
      Автор Алексей Нечуйветер
      Добрый день!
       
      Пришло письмо от судебных приставов, открыли, там находился архив, его не открывали. после закрытия письма система подвисла и все документы изменили название и формат.
       
      Подскажите что можно сделать, LOG файл сделал! 
      KL_syscure.zip
×
×
  • Создать...