SERGEY_R 0 Опубликовано 26 ноября, 2019 Share Опубликовано 26 ноября, 2019 Здравствуйте! Поймали вирус. Зашифровал файловую базу данных 1С. Резервной копии базы нет....((( расширение файла стало WDV, должно быть 1CD Размер файла базы составляет 1,7 Gb ВКасперский2.rar Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 26 ноября, 2019 Share Опубликовано 26 ноября, 2019 https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Ссылка на сообщение Поделиться на другие сайты
SERGEY_R 0 Опубликовано 26 ноября, 2019 Автор Share Опубликовано 26 ноября, 2019 Подскажите. Что не так я сделал?Проверку провел средством Kaspersky Virus Removal ToolФайлы упаковал в архив. К сообщению прикрепил. Если про подробное описание, то ситуация следующая:Мы купили хостинг с терминальным сервером. К серверу подключаются 3 пользователя, бухгалтера. 25 числа один из бухгалтеров обнаружил открытое черное окно на рабочем столе сервера под своей учетной записью. Закрыл окно, скрин не сохранился. После чего база не запустилась. Когда полезли смотреть что с базой, она оказалась зашифрованной. Файл теперь называется: 1Cv8.1CD[decodor@protonmail.com][3302700294-1574571454].WDV И есть еще вот такой фал в корне диска "C:" RakhniDecryptor.1.22.1.0_25.11.2019_10.56.35_log.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 26 ноября, 2019 Share Опубликовано 26 ноября, 2019 Подскажите. Что не так я сделал? Проверку провел средством Kaspersky Virus Removal ToolВы сделали только пункт 1 из правил по предложенной ссылке. А есть ещё пункт 2, т.е. нужен CollectionLog, собранный с помощью Автологера. Ссылка на сообщение Поделиться на другие сайты
SERGEY_R 0 Опубликовано 26 ноября, 2019 Автор Share Опубликовано 26 ноября, 2019 CollectionLog включен в архив и прикреплен к первому сообщению Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 26 ноября, 2019 Share Опубликовано 26 ноября, 2019 Вымогатель Dharma (.cezar Family) или Crusis по терминологии ЛК. Расшифровки нет, будет только очистка следов и мусора. "Пофиксите" в HijackThis: O4 - HKU\S-1-5-21-3937798315-3953921238-4271462600-1003\..\Run: [C:\Users\USER1C\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\USER1C\AppData\Roaming\Info.hta" (User 'USER1C') O4 - HKU\S-1-5-21-3937798315-3953921238-4271462600-1004\..\Run: [3302700294] = C:\Users\USER2\AppData\Local\Temp\3\svcbbj.exe (file missing) (User 'USER2') O4 - Startup other users: C:\Users\USER1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta Дополнительно:Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
SERGEY_R 0 Опубликовано 26 ноября, 2019 Автор Share Опубликовано 26 ноября, 2019 Вот получившиеся файлы Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 26 ноября, 2019 Share Опубликовано 26 ноября, 2019 Пароли на доступ по RDP смените. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: HKU\S-1-5-21-3937798315-3953921238-4271462600-1003\...\Run: [C:\Users\USER1C\AppData\Roaming\Info.hta] => C:\Users\USER1C\AppData\Roaming\Info.hta [13922 2019-11-01] () [File not signed] HKU\S-1-5-21-3937798315-3953921238-4271462600-1004\...\Run: [3302700294] => C:\Users\USER2\AppData\Local\Temp\3\svcbbj.exe <==== ATTENTION Startup: C:\Users\USER1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-11-01] () [File not signed] 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\Downloads\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\Documents\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\Desktop\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\Roaming\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\LocalLow\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\USER2\AppData\Local\Temp\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\Public\README.txt 2019-11-24 05:43 - 2019-11-24 05:43 - 000000096 _____ C:\Users\Public\Downloads\README.txt 2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\Users\Все пользователи\README.txt 2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\Users\Все пользователи\Documents\README.txt 2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\Users\Public\Documents\README.txt 2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\ProgramData\README.txt 2019-11-24 05:42 - 2019-11-24 05:42 - 000000096 _____ C:\ProgramData\Documents\README.txt 2019-11-01 00:16 - 2019-11-01 00:16 - 003518337 _____ C:\Users\USER1C\Documents\admin.zip.id-C4DB3506.[cryptocash@aol.com].CASH 2019-11-01 00:16 - 2019-11-01 00:16 - 000134394 _____ C:\Users\USER1C\Documents\exploit.exe.id-C4DB3506.[cryptocash@aol.com].CASH 2019-11-01 00:16 - 2019-11-01 00:16 - 000013922 _____ C:\Users\USER1C\AppData\Roaming\Info.hta End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер перезагрузите вручную. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 26 ноября, 2019 Share Опубликовано 26 ноября, 2019 Вымогатель Dharma (.cezar Family) или Crusis по терминологии ЛК Это Cryakl. Но расшифровки все равно нет. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 26 ноября, 2019 Share Опубликовано 26 ноября, 2019 Похоже два шифровальщика поработали, видны следы ещё от 1.11.2019 Ссылка на сообщение Поделиться на другие сайты
SERGEY_R 0 Опубликовано 27 ноября, 2019 Автор Share Опубликовано 27 ноября, 2019 Все вышеописанные действия выполнил. Надеюсь, что способ расшифровки все-таки появится... Файл во вложении Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 27 ноября, 2019 Share Опубликовано 27 ноября, 2019 При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Ссылка на сообщение Поделиться на другие сайты
Alfir 0 Опубликовано 27 ноября, 2019 Share Опубликовано 27 ноября, 2019 Не появилось решение? Столкнулись с такой же проблемой, зашифровал все файлы 1с... Ссылка на сообщение Поделиться на другие сайты
akoK 113 Опубликовано 27 ноября, 2019 Share Опубликовано 27 ноября, 2019 Нет и в ближайшем будущем не будет. А так При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Ссылка на сообщение Поделиться на другие сайты
SERGEY_R 0 Опубликовано 28 ноября, 2019 Автор Share Опубликовано 28 ноября, 2019 Какова вероятность расшифровки файлов? Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти