Шифровальщик unCrypt@INDIA.COM

30 января, 2017

Добрый день!
Сегодня утром обнаружил, что на сервере в папке с базами 1С все зашифровано.
Вместо названия файлов unCrypte@INDIA.COM_ххх, где ххх - 32 буквенно-цифровой код.
На выходных 1с-ники удаленно работали с базами (только у них административные права) и кто-то заразил сервер.
К этому добавилось то, что копий нет.
На сервере стоит пробная версия Касперский Антивирус (осталось 9 дней до окончания срока).
В корне диска создан файл Readme.hta, где предлагается заплатить 0,5 биткойна и есть ID (файл создан 29.01.17 в 20.24).
Помогите, пожалуйста, расшифровать файлы.

Пример файла в прикрепе.

unCrypte@INDIA.zip

CollectionLog-2017.01.30-13.46.zip

Изменено 30 января, 2017 пользователем delin

30 января, 2017

Здравствуйте!

Прочтите и выполните Порядок оформления запроса о помощи

30 января, 2017

Извините, исправил!

Лог в прикрепе в первом сообщении.

30 января, 2017

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Если найдется пара небольших (зашифрованный/не зашифрованный), упакуйте и тоже прикрепите к следующему сообщению.

30 января, 2017

В корне диска создан файл Readme.hta

Этот файл тоже упакуйте и пришлите

30 января, 2017

Запрашиваемые файлы в прикрепе.

В файле update.zip содержится файл update.txt из пакета 1С 7.7 и его зашифрованная версия.

Изменено 30 января, 2017 пользователем delin

30 января, 2017

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM-x32\...\Run: [win_en_77] => [X]
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
2016-03-14 13:40 - 2016-03-16 17:30 - 6120664 _____ (Mail.Ru) C:\Users\Alla\AppData\Local\Temp\MailRuUpdater.exe
2016-03-14 13:39 - 2016-03-14 13:42 - 27849360 _____ (Underberry lp) C:\Users\Alla\AppData\Local\Temp\nsfB738.tmp.exe
2016-03-14 14:04 - 2016-03-14 14:04 - 0455795 _____ (Wizzlabs                                                    ) C:\Users\Alla\AppData\Local\Temp\PNO9672DZM.exe
Task: {FB6AE637-CC5D-4C8D-98F7-FF8989D04D82} - System32\Tasks\Saogoi => C:\PROGRA~1\GROOVE~1\Nudecoba.bat <==== ATTENTION
MSCONFIG\startupreg: SystemClose => D:\Documents\systemfile.exe
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

30 января, 2017

Прикрепил.

Также заметили, что зашифрованы только имена файлов. Содержимое не шифровано.

Fixlog.txt

30 января, 2017

Значит Вам повезло

На выходных 1с-ники удаленно работали с базами

Смените важные пароли, в т.ч. на RDP.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

30 января, 2017

SecurityCheck

SecurityCheck.txt

30 января, 2017

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 10 ActiveX v.10.0.42.34 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------

Google Chrome v.55.0.2883.87 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

Прочтите и выполните Рекомендации после удаления вредоносного ПО

30 января, 2017

А расшифровать не получится?

30 января, 2017

Нужен файл, после запуска которого получили шифрование. Смотрите логи сервера, терзайте своих 1С-ников на предмет того, кто стал инициатором.

Есть подозрение, что удаленный уже файл D:\Documents\systemfile.exe и был причиной

=============

Update: еще одно возможное имя для поиска - sv.exe

3 февраля, 2017

Поможет https://www.bleepingcomputer.com/forums/t/638344/cryptconsole-uncrypteoutlookcom-support-topic-how-decrypt-fileshta/

Шифровальщик unCrypt@INDIA.COM

Рекомендуемые сообщения

delin

Sandor

delin

Sandor

thyrex

delin

Sandor

delin

Sandor

delin

Sandor

delin

thyrex

thyrex

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum