spora ransomware зашифрованны офисные файлы и база 1с

[kgen]

Добрый день!

Сотрудник открыл вложение скрипт.

Запустился троян. Результат - зашифрована часть файлов c расширениями doc, xls, pdf в расшаренных папках на 2х серверах + что самое печальное бухгалтерская файловая база  1с.

Серверы и рабочая машина сотрудника проверены KVRT , ничего не найдено.

Помогите пожалуйста вычистить хвосты, если остались этой заразы.

И если возможно дешифровать базу 1с.

Во вложении лог сборщика + скриншот с требованием оплаты 

Спасибо.

CollectionLog-2017.03.02-17.51.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[kgen]

Вот результат FRST.

frst.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-03-02 13:57 - 2017-03-02 13:57 - 00000723 _____ C:\6732105da02af7ace90a2766df68c97a.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000715 _____ C:\Documents and Settings\YMazalov\Рабочий стол\Неиспользуемые ярлыки.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000713 _____ C:\Documents and Settings\YMazalov\Рабочий стол\Документы для Евсино.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000703 _____ C:\Documents and Settings.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000699 _____ C:\Documents and Settings\YMazalov\Рабочий стол\Скан договора.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000693 _____ C:\Documents and Settings\YMazalov\Рабочий стол\Ип Ефремов.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000693 _____ C:\Documents and Settings\YMazalov\Рабочий стол\2017-03-02.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000691 _____ C:\Documents and Settings\YMazalov\Рабочий стол\скриншоты.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000687 _____ C:\Documents and Settings\YMazalov\Рабочий стол\тендеры.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000685 _____ C:\Program Files.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000685 _____ C:\Documents and Settings\YMazalov\Рабочий стол\личная.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000681 _____ C:\Documents and Settings\YMazalov\Рабочий стол\avz4.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000679 _____ C:\ccsetup514.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000673 _____ C:\WINDOWS.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000671 _____ C:\Ivecon.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000669 _____ C:\VPets.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000669 _____ C:\Intel.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000667 _____ C:\temp.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000667 _____ C:\MAIL.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000665 _____ C:\KAV.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000665 _____ C:\ICQ.lnk
2017-03-02 13:57 - 2017-03-02 13:57 - 00000661 _____ C:\1.lnk
2017-03-02 13:57 - 2017-03-02 09:13 - 00065536 ____H C:\Documents and Settings\YMazalov\Рабочий стол\2e22956ab3f9fa0549.exe
2017-03-02 13:57 - 2017-03-02 09:13 - 00065536 ____H C:\2e22956ab3f9fa0549.exe
2017-03-02 09:21 - 2017-03-02 09:21 - 00016671 _____ C:\Documents and Settings\YMazalov\Рабочий стол\RU97A-91OER-EKTOX-OHTHK-TXRFO-KTHKZ-ARTKR-HYYYY.html
2017-03-02 09:21 - 2017-03-02 09:21 - 00016671 _____ C:\Documents and Settings\YMazalov\RU97A-91OER-EKTOX-OHTHK-TXRFO-KTHKZ-ARTKR-HYYYY.html
2017-03-02 09:21 - 2017-03-02 09:21 - 00016671 _____ C:\Documents and Settings\YMazalov\Application Data\RU97A-91OER-EKTOX-OHTHK-TXRFO-KTHKZ-ARTKR-HYYYY.html
2017-03-02 09:13 - 2017-03-02 13:57 - 20895744 _____ C:\Documents and Settings\YMazalov\Application Data\4031114988
2017-03-02 09:13 - 2017-03-02 09:13 - 0065536 _____ () C:\Documents and Settings\YMazalov\Local Settings\Temp\rad4D18A.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[kgen]

Добрый день!

Файл во вложении.

Fixlog.txt

[thyrex]

С расшифровкой помочь не сможем

[kgen]

Понял. Большое спасибо!

На серверах нужно какие-либо манипуляции проводить?

Или шифрование всегда идет только с зараженной машины?

[thyrex]

Шифрование начинается с зараженной машины. Хотя у этого вируса есть функционал и сетевого червя, когда он скрывает папки и подставляет вместо них ярлыки, в которых прописан их запуск (у Вас такие ярлыки тоже удаляли). Но расчитано это скорее на распространение через флешки и другие съемные устройства.