Вирус зашифровал базы 1с и данные

[inplant]

Добрый день.

 

Вирус зашифровал базы 1с и данные. Рядом с архивом файл ВАЖНО!!!.txt c таким содержанием:

 

Внимание! Ваши данные заархивированы с паролем, использование их невозможно.

Для получения пароля к архиву от вас требуется оплата в эквиваленте 20000р (инструкции по оплате вам будут выданы после вашего обращения).

При согласии напишите на почту     rob1111stewar@usa.com  (резервный rob1111stewar@hotmail.com)  , указав в обращении IP адрес вашего сервера (внешний, его можно узнать, открыв сайт 2ip.ru). 

IP адрес необходим для выдачи вам вашего персонального пароля от архивов. Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера, во избежания подобных ситуаций в будущем.

 

Сразу, чтобы "не вставать дважды", к вопросу о гарантиях, который задают почти все - "где гарантия того, что после оплаты - пришлете пароль", "где гарантия что данные откроются" и т.п.

Ответ:  как вы видите -  архив с данными у вас лежит и доступен к просмотру. Хотел бы кинуть - удалил бы просто все и сказал что данные у меня лежат, а после оплаты - слился бы, а не заморачивался бы с архивацией информации.

Если сами не будете затягивать - то через 1-2 часа сможете продолжать работу как ни в чем ни бывало + избавитесь от лазеек в 

    системе и никто вас более не потревожит. В конце концов почту мою загуглите, - не вы первые, не вы последние, но кинутых не было.

Если сильно так хочется гарантию распаковки - заливайте архив на яндекс диск, присылайте ссылку, скачаю, извлеку какой то файл, для вашего спокойствия. Но для вас это дополнительные затраты времени. 

 

Через 24 часа цена за пароль от архивов составит 30000р.

 

 

 

•  
• Kaspersky Virus Removal Tool  ничего не нашел. Логи AutoLogger  во вложении.
•  
•  

 

CollectionLog-2017.12.05-11.41.zip

Изменено 5 декабря, 2017 пользователем inplant

[Sandor]

Здравствуйте!

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(9);
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 

Смените пароль на доступ по RDP.

С расшифровкой помочь не сможем. Ищите злоумышленника среди тех, у кого был физический доступ к серверу.

[inplant]

Спасибо. А почему среди тех кто физически имел доступ? Удаленно не могли пароль подобрать ?

 

CollectionLog-2017.12.05-15.14.zip

Изменено 5 декабря, 2017 пользователем inplant

[Sandor]

В начальных логах была видна эта дыра.

 

Проверьте уязвимости:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[inplant]

Уязвимости не обнаружены 

[Sandor]

Рекомендации после удаления вредоносного ПО