Файлы зашифрованный с расширением RR0D

[GTRoll]

Пишу на прямую сюда потому что не смог подгрузить фалы к заявке из личного кабинета

Прошу помощи в борьбе с злоумышленниками зашифровавшими файлы на сервере 1С

ОС Windows Server 2003 R2 Enterprise x86

Антивирус Касперского 6.0 R2 для Windows Servers с актуальными базами

После шифрования остались файлы с расширением RR0D и текстовый файл с почтовым адресом rr0d@riseup.net и начальной инструкцией образцы файлов прикреплены к теме, надеюсь на помощь в сложившейся ситуаций

Зашифрованные файлы.7z

ПРОЧТИ_МЕНЯ.txt

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[GTRoll]

Собранные логи

CollectionLog-2016.07.18-11.57.zip

FRST.7z

[mike 1]

Все как всегда. Не удивительно, что к вам залезли удаленно и залезут еще раз если не примите мер.

 

 

 

1. Скачайте Universal Virus Sniffer (uVS)

Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.

Если у вас установлены архиваторы

WinRAR

или

7-Zip

, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

"Да"

.

[GTRoll]

Еще один Лог

SERVER_2016-07-18_12-32-19.7z

[GTRoll]

Кидаю вам дешифратор может в будущем кому не будь и поможет

 

Биткоины зачислились. Спасибо.

Дешифратор в прикрепленных файлах, он в архиве, пароль на архив - имя
архива (он же Ваш код для разблокировки (7 цифр)).
Дешифратор в архиве 7zip, открыть его можно архиватором 7zip -
http://www.7-zip.org/

Перед расшифровкой:

1. выключите антивирус!
    (а лучше удалите его на время - так как даже в выключенном состоянии
служба антивируса работает и может блокировать дешифратор)
    Дешифратор не склеен ни с чем, можете не волноваться. После
дешифровки файлов проверите антивирусом компьютер и убедитесь, что мы
Вас не обманули.

2. - Выйдите со всех не используемых учетных записей на компьютере.

3. - завершите все процессы, которые могут обращаться к файлам -
бекаперы, 1с, индексация файлов, остановите SQL сервер..
    (если такие висят в диспетчере файлов)

4. - Обязательно сделайте бекап важных зашифрованных файлов, на флешку
или жесткий диск, перед запуском дешифратора - отсоедините
флешку/жесткий диск с бекапом от компьютера.
    (вирус проверен и файлы не портит, но Вы можете не заметить
"висячий" процесс, какого-либо приложения, который может помешать
правильной дешифровке файлов).

      Если во время дешифровки к файлам будет обращение от приложения -
расширение уберется, а сами файлы останутся зашифрованными, придется
повторять все с начала, но перед этим нужно будет самим добавлять
расширение или скопировать зашифрованные файлы из бекапа.

Расшифровка может длиться долго, несколько часов, в зависимости от
загруженности компьютера и количества файлов.

Процесс расшифровки:

1. Вам нужно скачать архив с дешифратором , разархивировать его в любое
место (допустим на рабочий стол) запустить его.
   Если у вас Windows7/Windows server 2008 - запустите дешифратор через
контекстное меню (правую кнопку мыши на дешифраторе -> запустить от
имени Администратора).
 Никаких других действий Вам не придется предпринимать - вводить коды
для дешифровки, удалять текстовые сообщения с требованием о
вымогательстве - все это сделает за Вас дешифратор. Компьютер вернется к
исходному состоянию до заражения.
   (Дешифратор - в архиве, название состоит из Вашего номера.7z,
дешифратор - номер_RR0D.exe).

2. Когда запустите дешифратор - на экране ничего не будет происходить,
расшифровка проходит в фоновом режиме, увидеть что работает дешифратор
можно в диспетчере задач -> процессы -> RR0D.exe после расшифровки
появится сообщение, что файлы расшифрованы, нажмите ОК.
   (окно с сообщением автоматически закроется).

Собственно ничего сложного. Если что-то сделали не так - повторяете все
с начала.

После расшифровки или во время неё, у Вас могут возникнуть вопросы -
задавайте, этот почтовый ящик работает и постоянно проверяется на
наличие новых писем, окажем всю необходимую поддержку.

8795804.7z

[mike 1]

Сервер чистый. Заглушек не оставили.

 

 

Антивирус Касперского 6.0 для Windows Servers (HKLM\...\{1B419CE6-A1AA-4207-8581-A414BE9C7B85}) (Version: 6.0.4.1424 - Лаборатория Касперского)

 

1. Начну я с антивируса, который уже снят с поддержки. Его обновляйте.

 

2. На всех учетных записях меняйте пароли, лишние учетные записи удаляйте.

 

 

Internet Explorer Version 6 (Default browser: IE)

 

3. Не будете ставить обновления на сервер, будете всегда страдать от таких вот "бизнесменов", которые ломают уязвимые серверы.

 

4. Стандартный порт 3389 у RDP меняйте на другой. У Radmin тоже меняйте его.

 

5. Настройте ограничения по подключению по RDP в пределах локальной сети, либо заданного диапазона IP адресов.

 

 

 

 

[GTRoll]

Сервер готовлю новый, РДП будет только по ВПН через прокси сервер

[mike 1]

Если на сервер не будут ставятся заплатки, то все равно залезут. 

[Walker]

Помогите! та же беда.   Не могу скачать выложенный тут дешифратор.

[mike 1]

Помогите! та же беда.   Не могу скачать выложенный тут дешифратор.

Он вам не подойдет скорее всего. Создайте свою тему.

[fear500@yandex.ru]

поймал точно такой же шифратор, как можно скачать архив с дешифратором?

[Calvincrave]

Сегодня ночью случилась такая же беде помогите хоть чем то если у кого то есть уже опыт...

[Mark D. Pearlstone]

Создавайте свои темы и выполняйте правила раздела http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]