Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте !

Вирус зашифровал базы 1С 8.

В заголовке файлов через блокнот можно прочитать

{KIARA}.SN-5509474658535737-kiaracript@gmail.com

Базы естественно не открываются.

Просьба помочь. бухгалтерия в шоке. Архивы также поражены. также выгрузки с расширением dt.

 

С уважением.

Владислав


Хотят денег, ниже привожу от них ответ

 

 

Для получения пароля и утилиты для расшифровки файлов необходимо перевести 1000$ 

на этот кошелек BTC(биткоин кошелек) 1LoJ3kZgLSm2NEQhZYoFg9cSjqnzyCqRaJ 
обмен можно произвести здесь http://www.bestchange.ru/

Если нужно расшифровать тестовый файл чтобы вы начали доверять нам, что существует дешифратор и не возникало различных вопросов на эту тему,
загрузите сюда http://dropmefiles.com/ шифрованный и не шифрованный файл, они обычно попарно лежат и отправьте ссылку нам

Если вам не интересно восстановление, напишите сразу чтобы мы не тратили не свое не ваше время, спасибо за понимание

CollectionLog-2018.03.19-14.53.zip

report1.log

report2.log

Опубликовано

Здравствуйте!

 

К сожалению, для этого типа вымогателя расшифровки нет.

Заражение точно произошло на компьютере, с которого собирали логи? Как правило, на таком компьютере во всех папках разбросан текстовый файл с требованием выкупа.

Опубликовано

Да, с этого компьютера.

Спасибо за отклик.

Опубликовано

 

 

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Скрипт закроет уязвимости в IE.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

текстовый файл с требованием выкупа

Этот файл и пару зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению.
Опубликовано

Да, с этого компьютера

Систему переустановили?
Опубликовано

нет, не переустанавливали.

это сервер, не так быстро. к сожалению

битые файлы на другом диске

Значит моя задача - переустановка системы.

Займусь сейчас

Опубликовано

Нет! Я ничего такого не говорил.

 

это сервер

Однако в логе написано

Platform: Microsoft Windows 7 Профессиональная (X86) Language: Русский (Россия)

Т.е. обычный компьютер в роли сервера?

 

Я спрашивал про переустановку потому, что в логах не видно никаких следов вымогателя.

Опубликовано

Да, обычный в роли сервера.


Скрин каталога 1с 7.7

post-49304-0-06412300-1521465186_thumb.jpg

Опубликовано

Я понимаю, что файлы зашифрованы. В системе открыты ресурсы:

 

D:\Install\1C

D:\Данные на сервере\5\smbguest\DataBase

E:\

D:\Install

C:\Users

D:\Данные на сервере

через которые заражение и произошло.

 

Но источник (компьютер, на котором был запущен вымогатель) вероятно другой компьютер.

 

на таком компьютере во всех папках разбросан текстовый файл с требованием выкупа

Опубликовано

Будем искать тот компьютер


Таких файлов не нашли.

Вот что было при запуске 1С 8 в терминальном режиме на одном из клиентских компьютеров.

При обращении к ним на почту хотят денег, письмо уже прикладывал.

post-49304-0-26923800-1521466283_thumb.jpg

Опубликовано

Значит требование выкупа в виде графического файла.

 

на одном из клиентских компьютеров

Соберите логи с него и картинку с парочкой зашифрованных файлов тоже упакуйте и прикрепите.
Опубликовано

Картинка на скриншоте - это что за файл?

Опубликовано

это снимок с телефона сотрудника во время запуска 1С.

То есть сначала он подключился к удаленному рабочему столу, потом запустил там 1С и вылетело это изображение

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Иван Сецовский
      Автор Иван Сецовский
      Можете мне тоже помочь?
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы Addition.txt
      FRST.txt
    • владVC11
      Автор владVC11
      Здравствуйте, не могли бы вы помочь раскодировать файлы на съёмном носителе (диске)?
    • Jenechka2012
      Автор Jenechka2012
      ПОМОГИТЕ ПОЖАЛУЙСТА! Не знаю что делать.... нигде ничего найти не могу, как это исправить. 
       
       # AdwCleaner v5.013 - Отчёт создан 13/10/2015 в 17:02:00
      # Обновлено 09/10/2015 by Xplode
      # База данных : 2015-10-09.3 [Сервер]
      # Операционная система : Windows 7 Home Basic Service Pack 1 (x86)
      # Пользователь : Мегафон - MEGAFON
      # Запущено из : C:\Users\Мегафон\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E2V253GF\adwcleaner_5.013.exe
      # Настройка : Очистка
      # помощь : http://toolslib.net/forum
       
      ***** [ Службы ] *****
       
       
      ***** [ Папки ] *****
       
      [-] Папка Удалено : C:\ProgramData\Media Get LLC
      [#] Папка Удалено : C:\ProgramData\mntemp
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Local\Media Get LLC
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Local\MediaGet2
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Media Get LLC
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\staged\yasearch@yandex.ru
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\staged\vb@yandex.ru
       
      ***** [ Файлы ] *****
       
      [-] Файл Удалено : C:\Users\Мегафон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk
       
      ***** [ DLLs ] *****
       
       
      ***** [ Ярлыки ] *****
       
       
      ***** [ Запланированные задания ] *****
       
       
      ***** [ Реестр ] *****
       
      [-] Ключ Удалено : HKCU\Software\Media Get LLC
      [-] Ключ Удалено : HKCU\Software\MediaGet
      [-] Ключ Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MediaGet
       
      ***** [ Веб браузеры ] *****
       
       
      *************************
       
      :: Настройки Winsock очищены
       
      ########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [1665 байт] ##########
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы
    • ScorpOfRus
      Автор ScorpOfRus
      Всем привет
      Пришло письмо на почту открыл его и соответственно получил
      зашифрованные файлы
      Файл шифровальщика сохранился
      Лог прикрепил
      CollectionLog-2015.10.04-17.08.zip
    • Алексей Нечуйветер
      Автор Алексей Нечуйветер
      Добрый день!
       
      Пришло письмо от судебных приставов, открыли, там находился архив, его не открывали. после закрытия письма система подвисла и все документы изменили название и формат.
       
      Подскажите что можно сделать, LOG файл сделал! 
      KL_syscure.zip
×
×
  • Создать...