Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик kiaracript@gmail зашифровал базу 1С

serega1989
 Поделиться

Рекомендуемые сообщения

serega1989

serega1989

Опубликовано
  • Автор
Опубликовано 
D:\Public\AutoLogger\CrashDumps\RSITx64.exe.3036.dmp

заархивируйте и прикрепите.

 

Архив получился больше 5 мб, на форум не прикрепляется, вот ссылка на файл https://cloud.mail.ru/public/7Fhq/wWkWN9Thw

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Если есть зашифрованные офисные документы (или pdf, jpg), упакуйте их вместе с запиской о выкупе и тоже прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
serega1989

serega1989

Опубликовано
  • Автор
Опубликовано (изменено)

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Если есть зашифрованные офисные документы (или pdf, jpg), упакуйте их вместе с запиской о выкупе и тоже прикрепите к следующему сообщению.

Локальный компьютер №1 и №2

Addition.txt

FRST.txt

Shortcut.txt

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем serega1989
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

@serega1989, во избежание путаницы следуйте правилу: один компьютер - одна тема.

В следующем сообщении прикрепите логи только одного компьютера, с которого прежде собрали CollectionLog.

 

В этой теме тоже Ваш компьютер? Вы повторно зарегистрировались что ли?

Ссылка на комментарий
Поделиться на другие сайты
serega1989

serega1989

Опубликовано
  • Автор
Опубликовано

@serega1989, во избежание путаницы следуйте правилу: один компьютер - одна тема.

В следующем сообщении прикрепите логи только одного компьютера, с которого прежде собрали CollectionLog.

 

В этой теме тоже Ваш компьютер? Вы повторно зарегистрировались что ли?

В той теме другой человек с этой же проблемой

Просто в организации несколько ПК заразилось, он с одним разбирается, я с другим

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Ran by buh1 (ATTENTION: The user is not administrator)

Собирать логи и выполнять действия следует от имени администратора. Переделайте, пожалуйста.

 

Если есть зашифрованные офисные документы (или pdf, jpg), упакуйте их вместе с запиской о выкупе и тоже прикрепите к следующему сообщению.

Это тоже ждем.
Ссылка на комментарий
Поделиться на другие сайты
serega1989

serega1989

Опубликовано
  • Автор
Опубликовано

 

Ran by buh1 (ATTENTION: The user is not administrator)

Собирать логи и выполнять действия следует от имени администратора. Переделайте, пожалуйста.

 

Если есть зашифрованные офисные документы (или pdf, jpg), упакуйте их вместе с запиской о выкупе и тоже прикрепите к следующему сообщению.

Это тоже ждем.

 

 

 

Ran by buh1 (ATTENTION: The user is not administrator)

Собирать логи и выполнять действия следует от имени администратора. Переделайте, пожалуйста.

 

Если есть зашифрованные офисные документы (или pdf, jpg), упакуйте их вместе с запиской о выкупе и тоже прикрепите к следующему сообщению.

Это тоже ждем.

 

 

https://cloud.mail.ru/public/6HLs/LWJTjMa1T

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Не цитируйте полностью предыдущее сообщение. Используйте форму быстрого ответа внизу.

 

По-прежнему ждем архив:

Если есть зашифрованные офисные документы (или pdf, jpg), упакуйте их вместе с запиской о выкупе и тоже прикрепите к следующему сообщению

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Только база 1С?

На этом компьютере следов вымогателя не видно.

 

Версию антивируса давно пора обновить до актуальной.

Продолжайте искать виновника заражения. Как правило, по всем папкам должны быть разбросаны записки с требованием выкупа.

Ссылка на комментарий
Поделиться на другие сайты
serega1989

serega1989

Опубликовано
  • Автор
Опубликовано

Так после заражения на этом компьютере сделали восстановление из архива операционной системы, может из за этого не видно?


Вот еще что нашел

1Cv8.1CD.SN-4223405648455533-kiaracript@gmail.rar

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Eugene_aka_Hades
      Диски с базами 1С зашифровали шифровальщиком dreed
      Автор Eugene_aka_Hades
      Здравствуйте,
       
      вчера ломанули сервер с файловой 1С-кой, зашифровали все имеющиеся диски, почистили все резервные копии (пока были настроены только теневые копии), а размещенные файлы теперь имеют расширение dreed.
      Попробовал порталы www.nomoreransom.org, noransom.kaspersky.com, но они не смогли определить данный шифровальщик.
       
      Первый раз сталкиваюсь с этой бедой, подскажите, что делать?
    • Bionikal
      Вирус зашифровал папки с 1с базами
      Автор Bionikal
      Вирус зашифровал все файлы в папках, кроме файлов с расширением *.exe, в каждой папке создал файл #HowToRecover.txt ;расширение зашифрованных файлов *.1cxz
      #HowToRecover.txt Примеры зашифрованных файлов.rar
    • fmlnuser
      wsus на базе ksc
      Автор fmlnuser
      Добрый день, имеется всус на базе ksc. Можно ли через него обновлять драйвера как это делается на wsusе от майкрософт? Так же интересует вопрос о необязательных обновлениях которые не получить через синхронизацию обновлений, на всусе от майкрософта можно было вручную добавить инсталяшку, а тут как?
    • zimolev
      Зашифровали сервера шифровальщик Zeppelin
      Автор zimolev
      на Добрый день. Словили шифрователь Zeppelin. Назаписка.zipчалось все фтп сервера, перекинулось на многие другие, Рабочие машины не пострадали, Все произошло в ночь с 29 на 30 июня 2025
      зашифрованныеФайлы.zip Addition.txt FRST.txt
    • hiveliberty
      Шифровальщик зашифровал на уровне разделов
      Автор hiveliberty
      Доброго дня,
      Коллеги столкнулись вчера с интересным шифровальщиком

      Windows Server 2022
      Зашифрован целый раздел с системой. И судя по всему, даже не битлокером. Несколько отличается окно с предложением ввести пароль.
      С зашифрованного диска снял первые 4кб данных через dd с livecd debian.
      И тоже самое сделал для чисто установленной ос и тоже прикрепил для сравнения.
      Так же снял с загрузочного раздела BCD файл, который явно был изменён во время работы этой дряни.
      Файлы не исполняемые, но упаковал в архив с дефолтным паролем.
      Пробовал отправлять куски через Virustotal - ни одного срабатывания.
      Пока прикреплять не стал, согласно правилам)

      Доступа к диску, естественно, нет и файлы никакие не получить.
      Доступен только диск загрузчика и Recovery

      По большому счёту интересно, можно ли с этим что-то делать.
      И в целом, новое что-то?

      Коллеги связались с этими ребятами, те показали список файлов с паролями от каждого сервера.
      Те спросили имя домена, серверов или их айпишники.
      По имени домена предоставили список файлов с паролями, скрин.

×
×
  • Создать...