Перейти к содержанию
Важная информация для бета-тестеров

Шифровальщик БД 1С и приложений [workup@india.com].java

Petrosyan_v
 Share

Рекомендуемые сообщения

Petrosyan_v Новичок

Petrosyan_v

Опубликовано
Опубликовано

Добрый день!

 

Прошу Вашей помощи!

Сегодня в 12-00 на сервере Windows 2012 R2 были зашифрованы БД 1С, приложения, ярлыки, файлы офисных приложений, картинки и т.д.

файлы переименованы с расширением: id-1C56D44A.[Workup@india.com].java

В системе появился новый пользователь "oracle".

Причина нам не известна, т.к. система практически парализована и нет возможности запустить системные приложения для просмотра истории действий вируса. 

 

Во вложении лог и пример зашифрованного файла.

 

Заранее благодарю за помощь

 

 


направляю результат сканирования FRST

CollectionLog-2017.12.08-22.09.zip

МОК ОПТ сен17.xls.id-1C56D44A.Workup@india.com.zip

FRST-2017.12.08-23.40.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

С расшифровкой помочь не сможем. Будет только зачистка следов мусора.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13915 2017-12-08] ()
HKLM\...\Run: [C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta] => C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta [13915 2017-12-08] ()
2017-12-08 12:01 - 2017-12-08 12:01 - 000000166 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2017-12-08 12:01 - 2017-12-08 12:01 - 000000166 _____ C:\FILES ENCRYPTED.txt
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Ссылка на комментарий
Поделиться на другие сайты
Petrosyan_v Новичок

Petrosyan_v

Опубликовано
  • Автор
Опубликовано

Добрый день!

 

Во вложении запрошенный файл.

Он был создан до перезагрузки сервера.

Правильно ли я понял Вас, что базы данных восстановить невозможно?

 

Спасибо


во вложении файл созданный после перезагрузки сервера, после первого запуска FRST c файлом fixlist.txt

​все четыре указанные единицы удалены

но по прежнему при входе на рабочий стол запускается всплывающее окно программы-шифровальщика (скрин во вложении)

 

​Если я все понял правильно, то начинать придется с нуля:

​- новая установка ОС win server

- новые базы данных 1с

 

​Спасибо

Fixlog.zip

FIXLOG.ZIP

рабочий стол админа сервера при запуске.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
C:\Windows\System32\Info.hta

C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta

 

удалите вручную

 

 

 

Правильно ли я понял Вас, что базы данных восстановить невозможно?

расшифровать могут только сами злоумышленники.
Ссылка на комментарий
Поделиться на другие сайты
  • 1 month later...
bss1312 Новичок

bss1312

Опубликовано
Опубликовано

 

C:\Windows\System32\Info.hta

C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta

 

удалите вручную

 

 

 

Правильно ли я понял Вас, что базы данных восстановить невозможно?

расшифровать могут только сами злоумышленники.

 

 

А если есть исходный и зашифрованный файлы это может помочь?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KеshaKost
      Контроль приложений
      От KеshaKost
      Добрый день. Подскажите пожалуйста, у меня есть достаточно большой список хешей файлов sha256, как можно их добавить в контроль приложений сразу все? Я нашел только добавление вручную по 1. Kaspersky Security Center 15
    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Пользователь 1551
      Шифровальщик
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Korwin312
      Шифровальщик ooo4ps.
      От Korwin312
      Добрый день.
      Зашифрованы файлы на диске C. Полностью заблокирован диск D.
      Атака совершена 22.02 около полуночи.
      Файлы прилагаю.
       
      FRST.txt Addition.txt Shortcut.txt FILES_ENCRYPTED.txt logo_TF_2016_222px (1).png.rar
    • ska79
      Управление автозапуском приложений в смартфоне
      От ska79
      Хочу удалить phone master со смартфона, если это сделаю исчезнет пункт управление автозапуском из настроек т.к. андроид 13 go. Более нигде в настройках пункт автозапуск не обнаружил.
      Какие приложения менеджеры автозапуска существуют? критерии не требовало для себя лишних разрешений, не "стучало" в сеть
×
×
  • Создать...