Перейти к содержанию

Зашифрованы файлы базы 1С

SERGEY_R
 Share

Рекомендуемые сообщения

SERGEY_R Новичок

SERGEY_R

Опубликовано
Опубликовано

Здравствуйте!

 

Поймали вирус. Зашифровал файловую базу данных 1С.

Резервной копии базы нет....(((

расширение файла стало WDV, должно быть 1CD

 

Размер файла базы составляет 1,7 Gb

ВКасперский2.rar

Ссылка на комментарий
Поделиться на другие сайты
SERGEY_R Новичок

SERGEY_R

Опубликовано
  • Автор
Опубликовано

Подскажите. Что не так я сделал?
Проверку провел средством Kaspersky Virus Removal Tool
Файлы упаковал в архив. К сообщению прикрепил.

 

Если про подробное описание, то ситуация следующая:
Мы купили хостинг с терминальным сервером. К серверу подключаются 3 пользователя, бухгалтера.

25 числа один из бухгалтеров обнаружил открытое черное окно на рабочем столе сервера под своей учетной записью.

Закрыл окно, скрин не сохранился.

После чего база не запустилась. Когда полезли смотреть что с базой, она оказалась зашифрованной.


Файл теперь называется:

1Cv8.1CD[decodor@protonmail.com][3302700294-1574571454].WDV


И есть еще вот такой фал в корне диска "C:"

 

RakhniDecryptor.1.22.1.0_25.11.2019_10.56.35_log.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Подскажите. Что не так я сделал? Проверку провел средством Kaspersky Virus Removal Tool

Вы сделали только пункт 1 из правил по предложенной ссылке. А есть ещё пункт 2, т.е. нужен CollectionLog, собранный с помощью Автологера.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Вымогатель Dharma (.cezar Family) или Crusis по терминологии ЛК. Расшифровки нет, будет только очистка следов и мусора.

 

"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-21-3937798315-3953921238-4271462600-1003\..\Run: [C:\Users\USER1C\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\USER1C\AppData\Roaming\Info.hta" (User 'USER1C')
O4 - HKU\S-1-5-21-3937798315-3953921238-4271462600-1004\..\Run: [3302700294] = C:\Users\USER2\AppData\Local\Temp\3\svcbbj.exe  (file missing) (User 'USER2')
O4 - Startup other users: C:\Users\USER1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Пароли на доступ по RDP смените.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
HKU\S-1-5-21-3937798315-3953921238-4271462600-1003\...\Run: [C:\Users\USER1C\AppData\Roaming\Info.hta] => C:\Users\USER1C\AppData\Roaming\Info.hta [13922 2019-11-01] () [File not signed]
HKU\S-1-5-21-3937798315-3953921238-4271462600-1004\...\Run: [3302700294] => C:\Users\USER2\AppData\Local\Temp\3\svcbbj.exe <==== ATTENTION
Startup: C:\Users\USER1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-11-01] () [File not signed]
2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\README.txt
2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\Downloads\README.txt
2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\Documents\README.txt
2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\Desktop\README.txt
2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\Roaming\README.txt
2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\README.txt
2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\LocalLow\README.txt
2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\Local\Temp\README.txt
2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\Public\README.txt
2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\Public\Downloads\README.txt
2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\Users\Все пользователи\README.txt
2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\Users\Все пользователи\Documents\README.txt
2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\Users\Public\Documents\README.txt
2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\ProgramData\README.txt
2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\ProgramData\Documents\README.txt
2019-11-01 00:16 - 2019-11-01 00:16 - 003518337 _____ C:\Users\USER1C\Documents\admin.zip.id-C4DB3506.[cryptocash@aol.com].CASH
2019-11-01 00:16 - 2019-11-01 00:16 - 000134394 _____ C:\Users\USER1C\Documents\exploit.exe.id-C4DB3506.[cryptocash@aol.com].CASH
2019-11-01 00:16 - 2019-11-01 00:16 - 000013922 _____ C:\Users\USER1C\AppData\Roaming\Info.hta
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

Нет и в ближайшем будущем не будет. А так

 

 


При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Федор45
      Базы зашифрованы
      От Федор45
      Добрый день!
      Утром получили зашифрованные базы 1С, другие продукты не тронуты
       
      FRST.txt Addition.txt
      для примера зашифрованный архив
      БАНК.rar
    • sntsnt
      Шифровальщик nigra зашифровал базы sql
      От sntsnt
      Здравствуйте. Сервер с базами SQL оказался зашифрован. С утра SQL сервер оказался выгруженным. Сервер включен 24/7. Все файлы имеют расширение nigra. Следов от NOD32 на компьютере вообще не нашел. В трее оказался запущенным AnyDesk. Взлом скорее всего произошел через RDP. Файлы ежедневного бэкапа баз SQL тоже зашифрованы. Резервные копии от акрониса тоже зашифрованы. Возможна ли расшифровка SQL баз или файлов бэкапа от акрониса в принципе?
      Шифрованные файлы.rar FRST.txt Addition.txt
    • Azward
      Зашифровались файлы hop_dec
      От Azward
      Добрый день! 
      Зашифровались все файлы на рабочей машине. В том числе 1с базы.
      [MJ-CR7920861453](decodehop@gmail.com )   Все файлы с таким расширением.
      Отправил во вложении Архив с файлом, и логи FRST
      Надеемся на вашу помощь. Стоял касперский Small office security. Не помог. Сейчас вовсе исчез.
      virus.rar Addition.txt FRST.txt
    • Andrei Butyrchyk
      Зашифрованы файлы с расширением .mammn
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
    • AlexPh_Vl
      Шифровальщик зашифровал всё, очень нужна база 1С
      От AlexPh_Vl
      Добрый день, продолжение  темы 
      файлы уже были отправлены в вышеуказанной теме.
      Речь об одном и том же компьютере.
      Прислали дешифровщик, но после лечения (удаления вируса) он  выдает ошибки. Как передать данный дешифровщик и  данные для анализа?
×
×
  • Создать...