Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик зашифровал архивы баз данных

Егорка
 Поделиться

Рекомендуемые сообщения

Егорка

Егорка

Опубликовано
Опубликовано

Доброго времени суток. Вчера 03.09.2017 Шифровальщик зашифровал все архивы баз данных, и сами базы. Вот что я там нашел "https://virustotal.com/#/file/f59e63429f43887100df83316db498c7d2815d5f12839a4842f2d1fd438412f1/detection" но самого шифровальщика найти не могу. В сети 2 пк + сервер. Подозрение падает на один из них. Прилагаю данный о проверке и логи со всех трех машин.

Собственно вероника - пк с которого скорее всего и пошел вирус.

наталья - просто пк в сети 

сервер - собственно сам сервер. на учетной записи был обнаружен троян, на декстопе. и запущен был 03.09.2017 в 1..50 по местному времени. 

всю доступную информацию я сообщил. Если будут вопросы - обращайтесь

CollectionLog-2017.09.04-05.41 nataly.zip

CollectionLog-2017.09.04-06.06 server.zip

CollectionLog-2017.09.04-14.30 veronica.zip

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

 

 


Собственно вероника - пк с которого скорее всего и пошел вирус.
Тогда его и будем тут лечить. Для каждого другого ПК создайте отдельную тему.

 

 

Антивирус Касперского 6.0 для Windows Workstations - устарел и не способен технически на сегодняшний день лечить современные вирусы. + Базы к нему уже не выпускаются. Так что обновляйте его в срочном порядке.

 

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [Infium] C:\Program Files\QIP 2012\qip.exe /autorun (file missing)
O4 - HKLM\..\Run: [pr] C:\Program Files\1C\накладные.exe (file missing)

 

Прикрепите файл с требваниеми о выкупе.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Егорка

Егорка

Опубликовано
  • Автор
Опубликовано

Спасибо за ваш ответ. По касперскому понял, если честно сам первый раз увидел пк пользователей. Лечить будем только сервер. Сегодня я загрузил сервак с лайвюсб касперского и почистил сервер. К сожалению из трех уделенных троянов успел записать только 1, а именно Trojan.BAT.BitcoinMiner,dg. 

 

Прикрепляю запрошенные вами файлы. 

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

@Егорка, вот для чего вы делаете винигред из логов? Написал же

 

 


вероника - пк

 

 


Тогда его и будем тут лечить. Для каждого другого ПК создайте отдельную тему.
Создайте отдельную тему по серверу и там выкладывайте логи по правилам созданные автологером.

 

А что с остальными ПК? Просто переставите систему?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Eugene_aka_Hades
      Диски с базами 1С зашифровали шифровальщиком dreed
      Автор Eugene_aka_Hades
      Здравствуйте,
       
      вчера ломанули сервер с файловой 1С-кой, зашифровали все имеющиеся диски, почистили все резервные копии (пока были настроены только теневые копии), а размещенные файлы теперь имеют расширение dreed.
      Попробовал порталы www.nomoreransom.org, noransom.kaspersky.com, но они не смогли определить данный шифровальщик.
       
      Первый раз сталкиваюсь с этой бедой, подскажите, что делать?
    • sanka
      Ваши документы, базы данных и другие файлы были зашифрованы.
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
    • Alkart1975
      Зашифровали диск с данными српедствами BitLocker
      Автор Alkart1975
      Здравствуйте.
      Зловред зашифровал битлокером несистемный диск. Злоумышленники просят выкуп на почту davidblaine@mail2world.com и bitlockerlock.unlock@gmail.com
      С диска С удалены файлы баз данных и документы. На компьютере несколько пользователей. 
      На рабочем столе одного из пользователей оставлен файл PLEASE READ с требованием оплаты.
      Прошу помощи. Возможно ли расшифровать диск? Или восстановить файлы баз данных 1С. 
      Addition.txt FRST.txt PLEASE READ.txt
    • Bionikal
      Вирус зашифровал папки с 1с базами
      Автор Bionikal
      Вирус зашифровал все файлы в папках, кроме файлов с расширением *.exe, в каждой папке создал файл #HowToRecover.txt ;расширение зашифрованных файлов *.1cxz
      #HowToRecover.txt Примеры зашифрованных файлов.rar
    • Zakot
      Вирус зашифровал данные на сервере
      Автор Zakot
      На сервере вчера вирус зашифровал данные, возможно через RDP попал, сегодня обнаружили.
      virus.zipFRST.txtAddition.txt
×
×
  • Создать...