Шифровальщик добавил в расширения файлов цифровой ID

[admin_ut 0]

Благодаря нерадивому бухгалтеру подхватили вирус-шифровальщик. Зашифрованы файлы и есть текст требования; "Все файлы на вашем ПК были зашифрованы с помощью криптостойкого алгоритма!

Для востановления файлов, Вам необходимо написать на email: nicefi@ya.ru

В теме письма необходимо указать ваш id (ID 28481)

Стоимость расшифровки - 12500 руб., данное предложение актуально в течении 48ч!"

В процессах замечен файл good.exe. Позже найден в временных файлах как good.exe.txt

Очень надеюсь на помощь, так как зашифрованы файлы баз 1С, так же архивы (в том числе изменены и в облаке). Прикрепляю оригинальный файл PDF и ссылка на зашифрованый https://drive.google.com/open?id=0B_JeeLGv3BpVdjgtNUVTZGlqSU0

CollectionLog-2017.01.04-11.32.zip

КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

23060105_230601002039_J1201007 Податкова накладна №355 від 31.05.2015_12.06.2015 16-45.pdf

Изменено 4 января, 2017 пользователем mike 1
Карантин в теме

[mike 1 1 093]

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!!!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

+ Пришлите зашифрованные файлы разных форматов (не более 2-3). Желательно docx, xlsx, jpg и pdf.

Изменено 4 января, 2017 пользователем mike 1

[admin_ut 0]

пока проводится проверка найдена папка у пользователя загрузившего вирус 

несколько зашифрованых файлов

95778f0c-827d-4aba-b416-f07dd840fd6a.rar

crypted.rar

[mike 1 1 093]

пока проводится проверка найдена папка у пользователя загрузившего вирус

Пришлите еще штук 5 xlsx файлов. + зашифрованные PDF файлы поищите.

Изменено 4 января, 2017 пользователем mike 1

[admin_ut 0]

pdf и xls + docx

pdf_xls.rar

[mike 1 1 093]

В общем что-то получится восстановить, а что-то нет из-за попытки злоумышленников модифицировать исходники вируса под себя. 

[admin_ut 0]

важны файлы dbf. я ин не отправлял. прикрепить?

файлы базы данных

dbf.rar

[mike 1 1 093]

Файлы в 8 сообщении похоже несколько раз были зашифрованы. 

[admin_ut 0]

malwarebytes еще проверяет и нашел файлы заражены. Может есть в них смысл, так как название одного crypt.dll. второй inf. пароль на архив 123, антивирус не пускал

log malwar

1.rar

malware log.txt

[mike 1 1 093]

В MBAM поместите в карантин все, кроме:

Папка: 9
PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data\lang, Проигнорировано пользователем, [2332], [351300],1.0.922
PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\License, Проигнорировано пользователем, [2332], [351300],1.0.922
PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data, Проигнорировано пользователем, [2332], [351300],1.0.922
PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater, Проигнорировано пользователем, [2332], [351300],1.0.922

Файл: 21
PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data\lang\crashrpt_lang_DE.ini, Проигнорировано пользователем, [2332], [351300],1.0.922
PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data\lang\crashrpt_lang_EN.ini, Проигнорировано пользователем, [2332], [351300],1.0.922
PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data\lang\crashrpt_lang_ES.ini, Проигнорировано пользователем, [2332], [351300],1.0.922
PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data\lang\crashrpt_lang_FR.ini, Проигнорировано пользователем, [2332], [351300],1.0.922
PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data\lang\crashrpt_lang_IT.ini, Проигнорировано пользователем, [2332], [351300],1.0.922
PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data\lang\crashrpt_lang_JP.ini, Проигнорировано пользователем, [2332], [351300],1.0.922
PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data\lang\crashrpt_lang_RU.ini, Проигнорировано пользователем, [2332], [351300],1.0.922
PUP.Optional.Carambis, C:\Documents and Settings\GlBuh\Application Data\Carambis\Driver Updater\data\lang\\u00d0\u009a\u00d0\u0090\u00d0\u009a \u00d0\u00a0\u00d0\u0090\u00d0\u00a1\u00d0\u00a8\u00d0\u0098\u00d0\u00a4\u00d0\u00a0\u00d0\u009e\u00d0\u0092\u00d0\u0090\u00d0\u00a2\u00d0\u00ac \u00d0\u00a4\u00d0\u0090\u00d0\u0099\u00d0\u009b\u00d0\u00ab.txt, Проигнорировано пользователем, [2332], [351300],1.0.922
PUP.Optional.RAAmmyy, C:\DOCUMENTS AND SETTINGS\KOT-OPER\\u00d0\u00a0\u00d0\u00b0\u00d0\u00b1\u00d0\u00be\u00d1\u0087\u00d0\u00b8\u00d0\u00b9 \u00d1\u0081\u00d1\u0082\u00d0\u00be\u00d0\u00bb\AA_V3.4.EXE, Проигнорировано пользователем, [417], [316623],1.0.922
HackTool.Agent, C:\WINDOWS\SYSTEM32\CRYPT.DLL, Проигнорировано пользователем, [549], [146769],1.0.922
Trojan.Reconyc, C:\WINDOWS\SYSTEM32\COM\SVCHOST.EXE, Проигнорировано пользователем, [153], [233111],1.0.922
PUP.Optional.BundleInstaller.MB, D:\190309\\u00d0\u00b1\u00d0\u00bb\u00d0\u00b0\u00d0\u00bd\u00d0\u00ba\u00d0\u00b8\CLAUDIA-SCHIFFER-KLAUDIA-SHIFFER-SUPERFITNES.TORRENT.EXE, Проигнорировано пользователем, [9081], [85969],1.0.922
HackTool.Agent, D:\PATH2\CRYPTED\DLL.RAR, Проигнорировано пользователем, [549], [146769],1.0.922

Проверьте эти файлы на virustotal

C:\WINDOWS\SYSTEM32\COM\SVCHOST.EXE

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

 

[admin_ut 0]

https://www.virustotal.com/ru/file/399d4b8eed157c15e93eaab7b6f9ba523bb768b8fd49d66c1450eb310a813ade/analysis/1483600856/

[mike 1 1 093]

Этого файла в карантине антивируса случайно нет?

 

C:\Documents and Settings\GlBuh\Рабочий стол\good.exe

[admin_ut 0]

нет

а где папка карантина Касперского, гляну там

[mike 1 1 093]

Не в папке нужно смотреть, а в самом антивирусе.

 

Кстати, зашли на ваш сервер ребята с Украины. Похоже даже VPN не использовали для захода на сервер.
 

Имя компьютера: SERVER
Код события: 1012
Сообщение: Удаленный сеанс от клиента по имени a превысил максимальное число неудачных попыток входа. Сеанс был принудительно завершен.

Имя компьютера: SERVER
Код события: 1
Сообщение: Connections: disconnected: 79.143.36.45::50148 (Either the username was not recognised, or the password was incorrect)

Изменено 5 января, 2017 пользователем mike 1

[admin_ut 0]

забавно. это мой айпишник с другой точки 

есть файлы в карантине касперского. какие дальнейшие действия