Перейти к содержанию

Шифровальщик unCrypt@INDIA.COM

delin
 Поделиться

Рекомендуемые сообщения

delin

delin

Опубликовано
Опубликовано (изменено)

Добрый день!
Сегодня утром обнаружил, что на сервере в папке с базами 1С все зашифровано.
Вместо названия файлов unCrypte@INDIA.COM_ххх, где ххх - 32 буквенно-цифровой код.
На выходных 1с-ники удаленно работали с базами (только у них административные права) и кто-то заразил сервер.
К этому добавилось то, что копий нет.
На сервере стоит пробная версия Касперский Антивирус (осталось 9 дней до окончания срока).
В корне диска создан файл Readme.hta, где предлагается заплатить 0,5 биткойна и есть ID (файл создан 29.01.17 в 20.24).
Помогите, пожалуйста, расшифровать файлы.

Пример файла в прикрепе.

unCrypte@INDIA.zip

CollectionLog-2017.01.30-13.46.zip

Изменено пользователем delin
delin

delin

Опубликовано
  • Автор
Опубликовано

Извините, исправил!

Лог в прикрепе в первом сообщении.

Sandor

Sandor

Опубликовано
Опубликовано

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Если найдется пара небольших (зашифрованный/не зашифрованный), упакуйте и тоже прикрепите к следующему сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

 

 


В корне диска создан файл Readme.hta
Этот файл тоже упакуйте и пришлите
  • Спасибо (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM-x32\...\Run: [win_en_77] => [X]
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
2016-03-14 13:40 - 2016-03-16 17:30 - 6120664 _____ (Mail.Ru) C:\Users\Alla\AppData\Local\Temp\MailRuUpdater.exe
2016-03-14 13:39 - 2016-03-14 13:42 - 27849360 _____ (Underberry lp) C:\Users\Alla\AppData\Local\Temp\nsfB738.tmp.exe
2016-03-14 14:04 - 2016-03-14 14:04 - 0455795 _____ (Wizzlabs                                                    ) C:\Users\Alla\AppData\Local\Temp\PNO9672DZM.exe
Task: {FB6AE637-CC5D-4C8D-98F7-FF8989D04D82} - System32\Tasks\Saogoi => C:\PROGRA~1\GROOVE~1\Nudecoba.bat <==== ATTENTION
MSCONFIG\startupreg: SystemClose => D:\Documents\systemfile.exe
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

delin

delin

Опубликовано
  • Автор
Опубликовано

Прикрепил.

Также заметили, что зашифрованы только имена файлов. Содержимое не шифровано.

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Значит Вам повезло :)

На выходных 1с-ники удаленно работали с базами

Смените важные пароли, в т.ч. на RDP.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Sandor

Sandor

Опубликовано
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 10 ActiveX v.10.0.42.34 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------

Google Chrome v.55.0.2883.87 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

thyrex

thyrex

Опубликовано
Опубликовано

Нужен файл, после запуска которого получили шифрование. Смотрите логи сервера, терзайте своих 1С-ников на предмет того, кто стал инициатором.

 

Есть подозрение, что удаленный уже файл D:\Documents\systemfile.exe и был причиной

 

=============

 

Update: еще одно возможное имя для поиска - sv.exe

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Quester1337
      Подозрение на вирус(ратник или стиллер)
      Автор Quester1337
      После скачки файла из интернета с проверенного ресурса было много срабатываний антивируса, однако я разрешил софту работать, вроде бы ничего странного не случалось, теперь я его удалил и хотел бы удостовериться, что его не осталось, т.к. в дз видел процесс повершелл который грузит цп(17-30%). Логи прилагаю.
      CollectionLog-2026.01.16-15.50.zip
    • pro100danya
      Угроза DPC:PowerShell.AVKill.10
      Автор pro100danya
      перестал работать запрет ,скачал фикс с ютуба после перезапуска пк удалился хром,скачал dr web и
      постоянно поврежденны файлы hosts и Chromiumconfig и недавно 200+ раз др веб отклонил DPC:PowerShell.AVKill.10
      я решил закинуть в вирус тотал ехешник и там было куча вирусов.
      пожалуйста помогите мне удалить вирус я не понимаю как его удалить но dr web постоянно детектит все его действия но АВ мне надо выключить для установки различных программ но я боюсь за свой пк
      также не хочу просто чтоб у меня был вирус на пк
    • Romchik45
      вирус закрывает антивирус
      Автор Romchik45
      1. Удалил антивирус 360 security.
      2. Захожу в антивирус винды (чтобы восстановить нужный мне файл) -журнал защиты и хочу восстановить один файл, в итоге там появляется непонятный файл и антивирус сам закрывается.
      3. Провел полное сканирование с помощью dr web cureit и обнаружились угрозы, переместились в карантин.
      После этого всего всеравно антивирус закрывается как на видео.
      Прилагаю еще скриншот с двумя непонятными программами которые установлены на пк.
      у меня виндовс 10 на пк
      https://www.youtube.com/watch?v=j5aPu8TweZI

      CollectionLog-2026.01.14-20.08.zip Архив ZIP - WinRAR.zip
    • KolanK
      Вирус Robotdemo
      Автор KolanK
      На пк сидит майнер Robotdemo. Антивирусы его не находят, только через Advance system care получается его снести на некоторое время. Спустя несколько дней (бывает даже раньше) он появляется снова.  В папке ProgramData он тоже не отображается.


      CollectionLog-2026.01.13-19.23.zip
    • Beshan
      После kms auto появляется самовосстанавливающаяся папка с trojan (czyuzabpfprl и ztbhbqffszlu)
      Автор Beshan
      Добрый день, пытался активировать виндовс через kms auto, после чего начали появляться самовосстанавливающиеся папки с файлом внутри, которые антивирус бесконечно теперь удаляет. Прикрепляю логи с Farbar Recovery Scan Tool. Спасибо
      Addition.zip FRST.zip
×
×
  • Создать...