proficit 0 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 На сервере Windows Server 2008 R2 установлен лицензионный Касперский Small Office Security. Вчера 13.10.2017 на сервере произошла зашифровка всех баз 1С и файлов с документами.Шифровальщик отключил антивирус (наверно для этого использовал программу Process Hacker 2 т.к. я ее не ставил а она установлена вчерашним числом). Поясните как так получилось?! (пароль администратора сервера очень сложный и его знаю только я и не когда его не где не сохранял не в каких файлах). Можете ли вы нам помощь в расшифровке? К заявке приложил один зашифрованный файл и html страницу с текстом который оставил шифровальщик. p.s. - У нас есть еще три сервера и там тоже стоят лицензионные антивирусы Small Office Security. На этих серверах пока все в порядке, но теперь мы опасаемся что и они не защищены.- Бэкапы доков и баз 1С есть, но есть файлы на рабочих столах юзеров которые не бэкапились и хотелось бы их расшифровать. - Жулики запросили 1 биткоин за расшифровку Files.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 709 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
proficit 0 Опубликовано 14 октября, 2017 Автор Share Опубликовано 14 октября, 2017 Порядок оформления запроса о помощи CollectionLog-2017.10.14-12.46.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 @proficit, 1) С рассшифровкой помочь не сможем. 2) - У нас есть еще три сервера и там тоже стоят лицензионные антивирусы Small Office Security. На этих серверах пока все в порядке, но теперь мы опасаемся что и они не защищены. создайте тему в разделе Помощь по продуктам Лаборатории Касперского вам помогут правильно их настроить для защиты от шифровальщиков. 3) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. 4) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 487 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 GlobeImposter2. С расшифровкой помочь не сможем. Только зачистка следов, если в этом есть необходимость Цитата Ссылка на сообщение Поделиться на другие сайты
proficit 0 Опубликовано 14 октября, 2017 Автор Share Опубликовано 14 октября, 2017 3. https://virusinfo.info/virusdetector/report.php?md5=A9AB4EEEBDC0700899AA5167B3D9A179 Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 IPSec - сами настраивали? Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1776525580-3596989396-2783763812-500_Classes\CLSID\{64A9418A-B6B1-4112-B75C-E61633C9A31F}\InprocServer32 -> C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll => No File CustomCLSID: HKU\S-1-5-21-1776525580-3596989396-2783763812-500_Classes\CLSID\{6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6}\InprocServer32 -> C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll => No File CustomCLSID: HKU\S-1-5-21-1776525580-3596989396-2783763812-500_Classes\CLSID\{6A2E142B-EA63-433A-AC05-5223CBD26E65}\InprocServer32 -> C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll => No File CustomCLSID: HKU\S-1-5-21-1776525580-3596989396-2783763812-500_Classes\CLSID\{6AFCC535-2F12-4F50-9F0A-1CF856CFC95D}\InprocServer32 -> C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll => No File ShellIconOverlayIdentifiers: [ MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} => C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll -> No File ShellIconOverlayIdentifiers: [ MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} => C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll -> No File ShellIconOverlayIdentifiers: [ MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} => C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll -> No File ShellIconOverlayIdentifiers-x32: [ MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} => C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll -> No File ShellIconOverlayIdentifiers-x32: [ MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} => C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll -> No File ShellIconOverlayIdentifiers-x32: [ MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} => C:\Users\836D~1\AppData\Local\Temp\2\mcse64_00.dll -> No File ShortcutTarget: Cloud Mail.Ru.lnk -> C:\Users\Администратор\AppData\Local\Mail.Ru\Cloud\Cloud.exe (No File) GroupPolicy: Restriction <==== ATTENTION Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Цитата Ссылка на сообщение Поделиться на другие сайты
proficit 0 Опубликовано 14 октября, 2017 Автор Share Опубликовано 14 октября, 2017 IPSec - не настраивал. Сервер в аренде в дата центре. а зачем вы пофиксили Cloud Mail.Ru? с помощью его я бэкапы в облако загоняю... Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 а зачем вы пофиксили Cloud Mail.Ru? Потому что эти записи реестра ссылались на пустоту. Temp\2\mcse64_00.dll => No File Возможно вирус задел его. Если он вам нужен, то лучше переустановить его. IPSec - не настраивал. Выполните тогда ещё такой скрипт Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.