Перейти к содержанию

Рекомендуемые сообщения

Пишу на прямую сюда потому что не смог подгрузить фалы к заявке из личного кабинета

Прошу помощи в борьбе с злоумышленниками зашифровавшими файлы на сервере 1С

ОС Windows Server 2003 R2 Enterprise x86

Антивирус Касперского 6.0 R2 для Windows Servers с актуальными базами

После шифрования остались файлы с расширением RR0D и текстовый файл с почтовым адресом rr0d@riseup.net и начальной инструкцией образцы файлов прикреплены к теме, надеюсь на помощь в сложившейся ситуаций

Зашифрованные файлы.7z

ПРОЧТИ_МЕНЯ.txt

Ссылка на сообщение
Поделиться на другие сайты

Все как всегда. Не удивительно, что к вам залезли удаленно и залезут еще раз если не примите мер.

 

 

 

  1. Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.
Если у вас установлены архиваторы
WinRAR
или
7-Zip
, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
"Да"
.

Ссылка на сообщение
Поделиться на другие сайты

Кидаю вам дешифратор может в будущем кому не будь и поможет

 

Биткоины зачислились. Спасибо.

Дешифратор в прикрепленных файлах, он в архиве, пароль на архив - имя
архива (он же Ваш код для разблокировки (7 цифр)).
Дешифратор в архиве 7zip, открыть его можно архиватором 7zip -
http://www.7-zip.org/

Перед расшифровкой:

1. выключите антивирус!
    (а лучше удалите его на время - так как даже в выключенном состоянии
служба антивируса работает и может блокировать дешифратор)
    Дешифратор не склеен ни с чем, можете не волноваться. После
дешифровки файлов проверите антивирусом компьютер и убедитесь, что мы
Вас не обманули.

2. - Выйдите со всех не используемых учетных записей на компьютере.

3. - завершите все процессы, которые могут обращаться к файлам -
бекаперы, 1с, индексация файлов, остановите SQL сервер..
    (если такие висят в диспетчере файлов)

4. - Обязательно сделайте бекап важных зашифрованных файлов, на флешку
или жесткий диск, перед запуском дешифратора - отсоедините
флешку/жесткий диск с бекапом от компьютера.
    (вирус проверен и файлы не портит, но Вы можете не заметить
"висячий" процесс, какого-либо приложения, который может помешать
правильной дешифровке файлов).

      Если во время дешифровки к файлам будет обращение от приложения -
расширение уберется, а сами файлы останутся зашифрованными, придется
повторять все с начала, но перед этим нужно будет самим добавлять
расширение или скопировать зашифрованные файлы из бекапа.

Расшифровка может длиться долго, несколько часов, в зависимости от
загруженности компьютера и количества файлов.

Процесс расшифровки:

1. Вам нужно скачать архив с дешифратором , разархивировать его в любое
место (допустим на рабочий стол) запустить его.
   Если у вас Windows7/Windows server 2008 - запустите дешифратор через
контекстное меню (правую кнопку мыши на дешифраторе -> запустить от
имени Администратора).
 Никаких других действий Вам не придется предпринимать - вводить коды
для дешифровки, удалять текстовые сообщения с требованием о
вымогательстве - все это сделает за Вас дешифратор. Компьютер вернется к
исходному состоянию до заражения.
   (Дешифратор - в архиве, название состоит из Вашего номера.7z,
дешифратор - номер_RR0D.exe).

2. Когда запустите дешифратор - на экране ничего не будет происходить,
расшифровка проходит в фоновом режиме, увидеть что работает дешифратор
можно в диспетчере задач -> процессы -> RR0D.exe после расшифровки
появится сообщение, что файлы расшифрованы, нажмите ОК.
   (окно с сообщением автоматически закроется).

Собственно ничего сложного. Если что-то сделали не так - повторяете все
с начала.

После расшифровки или во время неё, у Вас могут возникнуть вопросы -
задавайте, этот почтовый ящик работает и постоянно проверяется на
наличие новых писем, окажем всю необходимую поддержку.

8795804.7z

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Сервер чистый. Заглушек не оставили.

 

 

Антивирус Касперского 6.0 для Windows Servers (HKLM\...\{1B419CE6-A1AA-4207-8581-A414BE9C7B85}) (Version: 6.0.4.1424 - Лаборатория Касперского)

 

1. Начну я с антивируса, который уже снят с поддержки. Его обновляйте.

 

2. На всех учетных записях меняйте пароли, лишние учетные записи удаляйте.

 

 

Internet Explorer Version 6 (Default browser: IE)

 

3. Не будете ставить обновления на сервер, будете всегда страдать от таких вот "бизнесменов", которые ломают уязвимые серверы.

 

4. Стандартный порт 3389 у RDP меняйте на другой. У Radmin тоже меняйте его.

 

5. Настройте ограничения по подключению по RDP в пределах локальной сети, либо заданного диапазона IP адресов.

 

 

 

 

Ссылка на сообщение
Поделиться на другие сайты
  • 1 month later...

Помогите! та же беда.   Не могу скачать выложенный тут дешифратор.

Он вам не подойдет скорее всего. Создайте свою тему.

Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...

Создавайте свои темы и выполняйте правила раздела http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Максим М
      От Максим М
      Добрый день.
      Во вложении отчёты от FRST64, два зашифрованных файла, письмо вымогателя, ключи и .hta фаил, из-за которого я поставил архив на известный вам пароль. 
      BlackHunt2.zip
    • yaregg
      От yaregg
      Добрый день. Поймал шифровальщика. ПК на ночь остаётся на экране логина в учётку, однако утром был выключен. При запуске были определённые проблемы в связи с побитыми .ini.
      Текстовики и картинки поменяли расширение на .HELL. Также к имени файла добавилось [ID-GZKK2_Mail-HellCity@Tuta.io
      Примеры файлов и лог FRST прилагаю.
      Arch.zip Addition.txt FRST.txt Shortcut.txt
    • intessence
      От intessence
      Здравствуйте, шансы есть?
      vir.zip
    • Максим М
      От Максим М
      Добрый день.
      Во вложении отчёты от FRST64, два зашифрованных файла и письмо вымогателя. 
      Буду рад любой помощи.
      Vypt.zip
    • iLuminate
      От iLuminate
      Здраствуйте, если есть возможность и желание помогите пожалуйста. Заразились через почту либо флешку. Все зашифровано.

      Addition.txt FRST.txt HOW TO DECRYPT FILES.txt ЗАШИФРОВАННЫЕ ФАЙЛЫ.zip
×
×
  • Создать...