Перейти к содержанию

Зашифрованы файлы базы 1С


Рекомендуемые сообщения

Здравствуйте!

 

Поймали вирус. Зашифровал файловую базу данных 1С.

Резервной копии базы нет....(((

расширение файла стало WDV, должно быть 1CD

 

Размер файла базы составляет 1,7 Gb

ВКасперский2.rar

Ссылка на комментарий
Поделиться на другие сайты

Подскажите. Что не так я сделал?
Проверку провел средством Kaspersky Virus Removal Tool
Файлы упаковал в архив. К сообщению прикрепил.

 

Если про подробное описание, то ситуация следующая:
Мы купили хостинг с терминальным сервером. К серверу подключаются 3 пользователя, бухгалтера.

25 числа один из бухгалтеров обнаружил открытое черное окно на рабочем столе сервера под своей учетной записью.

Закрыл окно, скрин не сохранился.

После чего база не запустилась. Когда полезли смотреть что с базой, она оказалась зашифрованной.


Файл теперь называется:

1Cv8.1CD[decodor@protonmail.com][3302700294-1574571454].WDV


И есть еще вот такой фал в корне диска "C:"

 

RakhniDecryptor.1.22.1.0_25.11.2019_10.56.35_log.txt

Ссылка на комментарий
Поделиться на другие сайты

Подскажите. Что не так я сделал? Проверку провел средством Kaspersky Virus Removal Tool

Вы сделали только пункт 1 из правил по предложенной ссылке. А есть ещё пункт 2, т.е. нужен CollectionLog, собранный с помощью Автологера.
Ссылка на комментарий
Поделиться на другие сайты

Вымогатель Dharma (.cezar Family) или Crusis по терминологии ЛК. Расшифровки нет, будет только очистка следов и мусора.

 

"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-21-3937798315-3953921238-4271462600-1003\..\Run: [C:\Users\USER1C\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\USER1C\AppData\Roaming\Info.hta" (User 'USER1C')
O4 - HKU\S-1-5-21-3937798315-3953921238-4271462600-1004\..\Run: [3302700294] = C:\Users\USER2\AppData\Local\Temp\3\svcbbj.exe  (file missing) (User 'USER2')
O4 - Startup other users: C:\Users\USER1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пароли на доступ по RDP смените.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    HKU\S-1-5-21-3937798315-3953921238-4271462600-1003\...\Run: [C:\Users\USER1C\AppData\Roaming\Info.hta] => C:\Users\USER1C\AppData\Roaming\Info.hta [13922 2019-11-01] () [File not signed]
    HKU\S-1-5-21-3937798315-3953921238-4271462600-1004\...\Run: [3302700294] => C:\Users\USER2\AppData\Local\Temp\3\svcbbj.exe <==== ATTENTION
    Startup: C:\Users\USER1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-11-01] () [File not signed]
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\Downloads\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\Documents\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\Desktop\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\Roaming\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\LocalLow\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\Local\Temp\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\Public\README.txt
    2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\Public\Downloads\README.txt
    2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\Users\Все пользователи\README.txt
    2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\Users\Все пользователи\Documents\README.txt
    2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\Users\Public\Documents\README.txt
    2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\ProgramData\README.txt
    2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\ProgramData\Documents\README.txt
    2019-11-01 00:16 - 2019-11-01 00:16 - 003518337 _____ C:\Users\USER1C\Documents\admin.zip.id-C4DB3506.[cryptocash@aol.com].CASH
    2019-11-01 00:16 - 2019-11-01 00:16 - 000134394 _____ C:\Users\USER1C\Documents\exploit.exe.id-C4DB3506.[cryptocash@aol.com].CASH
    2019-11-01 00:16 - 2019-11-01 00:16 - 000013922 _____ C:\Users\USER1C\AppData\Roaming\Info.hta
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Нет и в ближайшем будущем не будет. А так

 

 


При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Федор45
      От Федор45
      Добрый день!
      Утром получили зашифрованные базы 1С, другие продукты не тронуты
       
      FRST.txt Addition.txt
      для примера зашифрованный архив
      БАНК.rar
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Николай Костиков
      От Николай Костиков
      Доброго всем дня !!! Ребята помогите дешефратором , один паразит американских файлы 1 С у меня зашифровал. Пример файлов прикладываю к письму.
      user-192.png.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...