Перейти к содержанию

Шифровальщик 1С

Saint13
 Share Подписчики 1

Рекомендуемые сообщения

Saint13

Saint13 0

Опубликовано
Опубликовано

Зашифровались файлы 1С - 1Cv8.1CD (их размер сейчас равен 0)

 

Рядом с базами текстовый файл @@_ВОПРОСЫ_ПО_ФАЙЛАМ_ПИШИТЕ_НА_(ear1Xooc@danwin1210.me).txt

 

Dr.Web обнаружил следующее:

 

post-50491-0-18369500-1532322264_thumb.jpg

 

Логи: CollectionLog-2018.07.23-10.47.zip

 

После чего возникла проблема не известно.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 250

Опубликовано
Опубликовано

Здравствуйте!

 

их размер сейчас равен 0

Значит не зашифровались, а стерты. Смените пароль на RDP.

При сборе логов желательно закрывать все программы, в том числе CuerIt.

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

+ Служба Удаленного рабочего стола Chrome - сами использовали?

O23 - Service S3: Служба Удаленного рабочего стола Chrome - (chromoting) - C:\Program Files (x86)\Google\Chrome Remote Desktop\68.0.3440.11\remoting_host.exe --type=daemon --host-config="C:\ProgramData\Google\Chrome Remote Desktop\host.json"
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 250

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • MotherBoard
      Фирма 1с создала открыла новый язык для тестирования: 1С:Предприятие - Элемент
      От MotherBoard
      Программа позволяет разрабатывать, тестировать и отлаживать приложения прямо в веб-браузере без дополнительной установки ПО с помощью технологии 1С:Предприятие.Элемент. Это существенно упрощает взаимодействие с кодом приложения.
      На данном языке уже реализованы:
       - 1С: Шина
       - 1С: Кабинет Сотрудника
       - 1С: Персонал
      Сейчас можно бесплатно зарегистрироваться и пробовать  силы на новой технологии. Для регистрации нажмите сюда
      Источник
       
    • denis12345
      Help me! BlackBit!
      От denis12345
      Help me! сегодня взломали и подсадили шифровальщика BlackBit, файлы особо не важны, но срочно нужно восстановление базы 1С, вся работа предприятия парализована. Может кто-то уже сталкивался и расшифровывал, подскажите методы или ? Заранее спасибо!
    • Владимир Митин
      Зашифрованы файлы на сервере 1С
      От Владимир Митин
      Добрый день.
      Компьютеры находятся в одном домене.
      Файлы на серверах зашифрованы на общих ресурсах - расшаренных папках.
      Бэкапы были на диске D.
       
      Файлы зашифрованы у пользователей на рабочих столах.
      Файлы на серверах - диск C, диск D и т.д.
       
      Файлы с FRST прикладываю.
      Зашифрованные файлы прикладываю.
      Тело вируса не обнаружено. Файла с запросом выкупа нет.
       
      FRST.txt Addition.txt Зашифрованные файлы.zip
    • Neo05
      Взломали офисную винду, стояла 1С, вообще не понимаю что делать, как восстановить, помогите пожалуйста.
      От Neo05
      Взломали офисную винду, стояла 1С, вообще не понимаю что делать, как восстановить, помогите пожалуйста.
       
      Я не смог запуститьна том компе ничего, вставленная флешка была моментально заражена.  И вот заражённые файлы я вложил сюда во вложении
       
       
       
       
      FRST64.exe.id[B08CFBD2-3349].[johnhelper777@gmx.de].rar key.txt.id[B08CFBD2-3349].[johnhelper777@gmx.de].rar
    • baikal
      Шифровальщик eitieTh1 для баз 1С
      От baikal
      Добрый день,
      В январе после праздников одна из сотрудниц предприятия попросила открыть доступ к серверу, через сетевое окружение, на сервере был расшарен корневой каталог файловой базы 1С с возможностью изменения. Раньше она заходила через RDP. На самом сервере ни каких следов нет, кроме зашифрованных файлов корневого каталога 1С (кроме файлов 1С там находились документы Word, Excell для обмена). Все подозрения на ПК той самой сотрудницы, которой был открыт доступ через сетевое окружение. Её ПК после сканирования антивирусом Касперского подтвердил завирусованость ОС. Логи антивируса приложил в архив. Логи Farbar Recovery Scan Tool так же приложил.
      Вымогатель требование о выкупе не сообщил, только в названиях файла есть суффикс электронной почты ivakinjiin@dnmx.org расширение зашифрованного файла *.eitieTh1 при открытии зашифрованного файла winhex можно увидеть только нули, хоть объем файла соответствует не зашифрованному файлу. Возможно вымогатель зашифровал таким образом, что нельзя расшифровать любым способом.
      Если моя версия верна в плане того, что каталог с базой 1С был зашифрован через сетевое окружение, тогда как можно зашифровать файл 1С когда он занят самой программой (обычно бухгалтера не закрывают приложения). Логи сервера Безопасность были затерты от того числа, когда было произведено шифрование, по умолчанию в настройках установлено "Переписывать события при необходимости". На самом сервере нет антивируса. Вымогатель в основном шифровал папки 1С, остальное не трогал, его интересовало только 1С.
       
      да поможет, нам "бог сети"
      eitieTh1_18012022.rar
×
×
  • Создать...