Шифровальщик unCrypt@INDIA.COM

[delin 0]

Добрый день!
Сегодня утром обнаружил, что на сервере в папке с базами 1С все зашифровано.
Вместо названия файлов unCrypte@INDIA.COM_ххх, где ххх - 32 буквенно-цифровой код.
На выходных 1с-ники удаленно работали с базами (только у них административные права) и кто-то заразил сервер.
К этому добавилось то, что копий нет.
На сервере стоит пробная версия Касперский Антивирус (осталось 9 дней до окончания срока).
В корне диска создан файл Readme.hta, где предлагается заплатить 0,5 биткойна и есть ID (файл создан 29.01.17 в 20.24).
Помогите, пожалуйста, расшифровать файлы.

Пример файла в прикрепе.

unCrypte@INDIA.zip

CollectionLog-2017.01.30-13.46.zip

Изменено 30 января, 2017 пользователем delin

[Sandor 1 286]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[delin 0]

Извините, исправил!

Лог в прикрепе в первом сообщении.

[Sandor 1 286]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Если найдется пара небольших (зашифрованный/не зашифрованный), упакуйте и тоже прикрепите к следующему сообщению.

[thyrex 1 411]

 

 

В корне диска создан файл Readme.hta

Этот файл тоже упакуйте и пришлите

[delin 0]

Запрашиваемые файлы в прикрепе.

В файле update.zip содержится файл update.txt из пакета 1С 7.7 и его зашифрованная версия.

Shortcut.txt

Addition.txt

FRST.txt

Readme.zip

update.zip

Изменено 30 января, 2017 пользователем delin

[Sandor 1 286]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM-x32\...\Run: [win_en_77] => [X]
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
2016-03-14 13:40 - 2016-03-16 17:30 - 6120664 _____ (Mail.Ru) C:\Users\Alla\AppData\Local\Temp\MailRuUpdater.exe
2016-03-14 13:39 - 2016-03-14 13:42 - 27849360 _____ (Underberry lp) C:\Users\Alla\AppData\Local\Temp\nsfB738.tmp.exe
2016-03-14 14:04 - 2016-03-14 14:04 - 0455795 _____ (Wizzlabs                                                    ) C:\Users\Alla\AppData\Local\Temp\PNO9672DZM.exe
Task: {FB6AE637-CC5D-4C8D-98F7-FF8989D04D82} - System32\Tasks\Saogoi => C:\PROGRA~1\GROOVE~1\Nudecoba.bat <==== ATTENTION
MSCONFIG\startupreg: SystemClose => D:\Documents\systemfile.exe
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

[delin 0]

Прикрепил.

Также заметили, что зашифрованы только имена файлов. Содержимое не шифровано.

Fixlog.txt

[Sandor 1 286]

Значит Вам повезло

На выходных 1с-ники удаленно работали с базами

Смените важные пароли, в т.ч. на RDP.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[delin 0]

SecurityCheck

SecurityCheck.txt

[Sandor 1 286]

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 10 ActiveX v.10.0.42.34 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------

Google Chrome v.55.0.2883.87 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[delin 0]

А расшифровать не получится?

[thyrex 1 411]

Нужен файл, после запуска которого получили шифрование. Смотрите логи сервера, терзайте своих 1С-ников на предмет того, кто стал инициатором.

 

Есть подозрение, что удаленный уже файл D:\Documents\systemfile.exe и был причиной

 

=============

 

Update: еще одно возможное имя для поиска - sv.exe

[thyrex 1 411]

Поможет https://www.bleepingcomputer.com/forums/t/638344/cryptconsole-uncrypteoutlookcom-support-topic-how-decrypt-fileshta/