Перейти к содержанию

Шифровальщик [openpgp@foxmail.com].pgp и сервер 1С

Hagen
 Share

Рекомендуемые сообщения

Hagen Новичок

Hagen

Опубликовано
Опубликовано

Здравствуйте.

06 мая 2020 года сервер 1С был атакован шифровальщиком. Заражены все актуальные базы 1С. На ПК  с 1С стоял антивирус Avira Security Free. На ПК двух пользователей - Kasperky Internet Security 20.0.14.1058(k), машины пользователей не заражены. 

Добавляет в конец файла id-ECEF4C81.[openpgp@foxmail.com].pgp

Нужна помощь в расшифровке.

CollectionLog-2020.06.10-09.34.zip report1.log report2.log readme.txt.id-ECEF4C81.[openpgp@foxmail.com].pgp

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Тип вымогателя Crysis или Dharma (.cezar Family), расшифровки нет.

Вы уверены, что заражен тот компьютер, с которого сняты логи?

 

Для верности дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Hagen Новичок

Hagen

Опубликовано
  • Автор
Опубликовано

После заражения ПК ушел на цикличную перезагрузку. Был восстановлен из образа диска. Прилагаю результаты работы программы Farbar.

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
55 минут назад, Hagen сказал:

Был восстановлен из образа диска

Надо было сразу об этом сообщить. Такие логи бесполезны.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Эту утилиту можете запускать на любом компьютере и станет ясно какие уязвимости следует закрыть.

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
15 часов назад, LuxeonSl сказал:

самое интересное что есть человек который его уже дешифрует но за космические деньги

Посредники давно известны.

 

Сообщение от модератора Mark D. Pearlstone
Тема закрыта.
Ссылка на комментарий
Поделиться на другие сайты
  • Mark D. Pearlstone закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • slot9543
      Поймали шифровальщика на сервер
      От slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
    • chernikovd
      Поймали шифровальщика на несколько серверов
      От chernikovd
      Добрый день!
      поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному
       
      спасибо
      ЗашифрованыеФайлы.7z Addition.txt FRST.txt
    • whoamis
      Зашифровало сервер сегодня
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • website9527633
      Переобращение агента на сервер KSC
      От website9527633
      Добрый день! Возник вопрос при обращении агентов удаленно посредством запуска скрипта на рабочих станциях, вопрос: как в Агенте администрирования 15 на рабочих станциях, в скрипте указать пароль от удаления Агента администрирования?
      К примеру у меня скрипт отрабатывал таким образом, но в случае версии Агента администрирования 15, он запрашивает дополнительно пароль от удаления
      @echo off
      start "" "C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klmover.exe" -address 192.168.1.1 -silent
    • sduganov
      зашифровали сервер 1С
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
×
×
  • Создать...