Перейти к содержанию

Шифровальщик БД 1С и приложений [workup@india.com].java

Petrosyan_v
 Share

Рекомендуемые сообщения

Petrosyan_v Новичок

Petrosyan_v

Опубликовано
Опубликовано

Добрый день!

 

Прошу Вашей помощи!

Сегодня в 12-00 на сервере Windows 2012 R2 были зашифрованы БД 1С, приложения, ярлыки, файлы офисных приложений, картинки и т.д.

файлы переименованы с расширением: id-1C56D44A.[Workup@india.com].java

В системе появился новый пользователь "oracle".

Причина нам не известна, т.к. система практически парализована и нет возможности запустить системные приложения для просмотра истории действий вируса. 

 

Во вложении лог и пример зашифрованного файла.

 

Заранее благодарю за помощь

 

 


направляю результат сканирования FRST

CollectionLog-2017.12.08-22.09.zip

МОК ОПТ сен17.xls.id-1C56D44A.Workup@india.com.zip

FRST-2017.12.08-23.40.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

С расшифровкой помочь не сможем. Будет только зачистка следов мусора.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13915 2017-12-08] ()
HKLM\...\Run: [C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta] => C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta [13915 2017-12-08] ()
2017-12-08 12:01 - 2017-12-08 12:01 - 000000166 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2017-12-08 12:01 - 2017-12-08 12:01 - 000000166 _____ C:\FILES ENCRYPTED.txt
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
Ссылка на комментарий
Поделиться на другие сайты
Petrosyan_v Новичок

Petrosyan_v

Опубликовано
  • Автор
Опубликовано

Добрый день!

 

Во вложении запрошенный файл.

Он был создан до перезагрузки сервера.

Правильно ли я понял Вас, что базы данных восстановить невозможно?

 

Спасибо


во вложении файл созданный после перезагрузки сервера, после первого запуска FRST c файлом fixlist.txt

​все четыре указанные единицы удалены

но по прежнему при входе на рабочий стол запускается всплывающее окно программы-шифровальщика (скрин во вложении)

 

​Если я все понял правильно, то начинать придется с нуля:

​- новая установка ОС win server

- новые базы данных 1с

 

​Спасибо

Fixlog.zip

FIXLOG.ZIP

рабочий стол админа сервера при запуске.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
C:\Windows\System32\Info.hta

C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta

 

удалите вручную

 

 

 

Правильно ли я понял Вас, что базы данных восстановить невозможно?

расшифровать могут только сами злоумышленники.
Ссылка на комментарий
Поделиться на другие сайты
  • 1 month later...
bss1312 Новичок

bss1312

Опубликовано
Опубликовано

 

C:\Windows\System32\Info.hta

C:\Windows\system32\config\systemprofile\AppData\Roaming\Info.hta

 

удалите вручную

 

 

 

Правильно ли я понял Вас, что базы данных восстановить невозможно?

расшифровать могут только сами злоумышленники.

 

 

А если есть исходный и зашифрованный файлы это может помочь?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • gennadij-zaripov
      Ярлыки, иконки приложений.
      От gennadij-zaripov
      После сегодняшнего обновления 11 винды пропали все ярлыки и иконки, остались только названия, также не открывается диспетчер задач свойства диска. Может ещё что-то, это первое, на что обратил внимание после обновления и перезагрузки. Команду sfc /scannow выполнил. Всё в порядке. Кэш иконок скидывал.
       

    • ГГеоргий
      Контроль запуска приложений
      От ГГеоргий
      Добрый день!
      подскажите пожалуйста, как лучше реализовать следующий функционал - 
      Нам немобходимо чтобы создался перечень определенных приложений на армах в группах, и было разрешено открывать-запускать исключительно эти приложения.

      Проблемы с которыми мы столкнулись6
      На Linux можно создать Golden Image для этого, а в виндовой версии такого нет.
      При экспорте перечня программ из реестра приложений мы получаем csv или txt файлы, в то время как компонент "контроль приложений" принимает на импорт только xml.
      Вручную добавлять программы не вариант, тк их может быть очень много
      Через задачу "формирования правил контроля запуска программ" это тоже делается с трудом, тк там можно выбрать из уже запущенных программ, и из отчетов KSC, нам же необходимо скопом закинуть туда перечень
      И кроме того при формировании правил контроля запуска программ  в блоке "по завершении задачи" есть пункт "Экспортировать разрешающие правила в файл." Там необходимо указать полный путь к файлу xml (для экспорта) но как бы мы не указывали - получаем ошибку неверный путь. Подскажите что можно сделать? 
    • TorinoS
      Старший бэкенд-разработчик Java/Kotlin изучает различные направления для развития своих навыков и компетенций
      От TorinoS
      Привет!
      Я - старший Java/Kotlin разработчик с 6 годами опыта в backend и исследую направления для развития моих навыков. Рассматриваю различные пути: например,
      - углубить фронтенд, изучить React и стать fullstack-разработчиком,
      - расширить мои скилы в бэкенд, освоив такие языки как Rust.
      - облачные технологии (AWS, Azure),
      - углубление DevOps навыков (Docker, Kubernetes) для управления инфраструктурой.
      - ML
      - безопасность

      Интересует, какое из этих (и не только этих) направлений более перспективно на ближайшие 5 лет.
      Какие конкретные технологии или фреймворки стоит выбрать для каждого пути?
      Какие реальные преимущества и с какими сложностями сталкиваются разработчики при переходе в фуллстек и другие направления?
      Есть ли другие направления, которые стоит учитывать для роста в текущих условиях рынка?
      Спасибо!
    • Dmitriy11
      Ошибка баз модулей приложения
      От Dmitriy11
      Здравствуйте, KES 11.9.0.351. После удаления приложения через безопасный режим с помощью kavremvr, и установкой обратно, при обновлении баз выдает ошибку «ошибка проверки баз и модулей приложения updater.xml» «ошибка проверки баз и модулей приложения u1901.xml»
    • Roma1
      Исчезновение приложений на смартфоне
      От Roma1
      При массовом обновление приложений на смартфоне (андроид) часть приложений исчезают. Вот вчера обновилось много приложений (вернулся в мир нормальных интернет скоростей) и часть из них исчезло. Например 2ГИС со всеми картами и моими метками, Касперский антивирус и т.д. Возможно, что часть исчезновений я ещё не заметил...
      Как отследить какие приложения пропали и как избежать этого в дальнейшем?
×
×
  • Создать...