KIARA

[avg22@yandex.ru 0]

Здравствуйте !

Вирус зашифровал базы 1С 8.

В заголовке файлов через блокнот можно прочитать

{KIARA}.SN-5509474658535737-kiaracript@gmail.com

Базы естественно не открываются.

Просьба помочь. бухгалтерия в шоке. Архивы также поражены. также выгрузки с расширением dt.

 

С уважением.

Владислав

Хотят денег, ниже привожу от них ответ

 

 

Для получения пароля и утилиты для расшифровки файлов необходимо перевести 1000$ 

на этот кошелек BTC(биткоин кошелек) 1LoJ3kZgLSm2NEQhZYoFg9cSjqnzyCqRaJ 

обмен можно произвести здесь http://www.bestchange.ru/

Если нужно расшифровать тестовый файл чтобы вы начали доверять нам, что существует дешифратор и не возникало различных вопросов на эту тему,

загрузите сюда http://dropmefiles.com/ шифрованный и не шифрованный файл, они обычно попарно лежат и отправьте ссылку нам

Если вам не интересно восстановление, напишите сразу чтобы мы не тратили не свое не ваше время, спасибо за понимание

CollectionLog-2018.03.19-14.53.zip

report1.log

report2.log

[Sandor 1 254]

Здравствуйте!

 

К сожалению, для этого типа вымогателя расшифровки нет.

Заражение точно произошло на компьютере, с которого собирали логи? Как правило, на таком компьютере во всех папках разбросан текстовый файл с требованием выкупа.

[avg22@yandex.ru 0]

Да, с этого компьютера.

Спасибо за отклик.

[Sandor 1 254]

 

 

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Скрипт закроет уязвимости в IE.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

текстовый файл с требованием выкупа

Этот файл и пару зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

[avg22@yandex.ru 0]

Файлы во вложении

 

FRST.txt

Addition.txt

[Sandor 1 254]

Да, с этого компьютера

Систему переустановили?

[avg22@yandex.ru 0]

нет, не переустанавливали.

это сервер, не так быстро. к сожалению

битые файлы на другом диске

Значит моя задача - переустановка системы.

Займусь сейчас

[Sandor 1 254]

Нет! Я ничего такого не говорил.

 

это сервер

Однако в логе написано

Platform: Microsoft Windows 7 Профессиональная (X86) Language: Русский (Россия)

Т.е. обычный компьютер в роли сервера?

 

Я спрашивал про переустановку потому, что в логах не видно никаких следов вымогателя.

[avg22@yandex.ru 0]

Да, обычный в роли сервера.

Скрин каталога 1с 7.7

[Sandor 1 254]

Я понимаю, что файлы зашифрованы. В системе открыты ресурсы:

 

D:\Install\1C

D:\Данные на сервере\5\smbguest\DataBase

E:\

D:\Install

C:\Users

D:\Данные на сервере

через которые заражение и произошло.

 

Но источник (компьютер, на котором был запущен вымогатель) вероятно другой компьютер.

 

на таком компьютере во всех папках разбросан текстовый файл с требованием выкупа

[avg22@yandex.ru 0]

Будем искать тот компьютер

Таких файлов не нашли.

Вот что было при запуске 1С 8 в терминальном режиме на одном из клиентских компьютеров.

При обращении к ним на почту хотят денег, письмо уже прикладывал.

[Sandor 1 254]

Значит требование выкупа в виде графического файла.

 

на одном из клиентских компьютеров

Соберите логи с него и картинку с парочкой зашифрованных файлов тоже упакуйте и прикрепите.

[avg22@yandex.ru 0]

ReadMe.txt из комплекта поставки платформы 1С 7.7

readme.zip

[Sandor 1 254]

Картинка на скриншоте - это что за файл?

[avg22@yandex.ru 0]

это снимок с телефона сотрудника во время запуска 1С.

То есть сначала он подключился к удаленному рабочему столу, потом запустил там 1С и вылетело это изображение