Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте.

06 мая 2020 года сервер 1С был атакован шифровальщиком. Заражены все актуальные базы 1С. На ПК  с 1С стоял антивирус Avira Security Free. На ПК двух пользователей - Kasperky Internet Security 20.0.14.1058(k), машины пользователей не заражены. 

Добавляет в конец файла id-ECEF4C81.[openpgp@foxmail.com].pgp

Нужна помощь в расшифровке.

CollectionLog-2020.06.10-09.34.zip report1.log report2.log readme.txt.id-ECEF4C81.[openpgp@foxmail.com].pgp

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Тип вымогателя Crysis или Dharma (.cezar Family), расшифровки нет.

Вы уверены, что заражен тот компьютер, с которого сняты логи?

 

Для верности дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

После заражения ПК ушел на цикличную перезагрузку. Был восстановлен из образа диска. Прилагаю результаты работы программы Farbar.

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
55 минут назад, Hagen сказал:

Был восстановлен из образа диска

Надо было сразу об этом сообщить. Такие логи бесполезны.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

Эту утилиту можете запускать на любом компьютере и станет ясно какие уязвимости следует закрыть.

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
15 часов назад, LuxeonSl сказал:

самое интересное что есть человек который его уже дешифрует но за космические деньги

Посредники давно известны.

 

Сообщение от модератора Mark D. Pearlstone
Тема закрыта.
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От Swamper
      Здравствуйте! Оказались зашифрованы все файлы на NAS сервере в ресурсах, к которым есть доступ у пользователя, из под учетки которого был совершен вход. Некоторые (не все, часть просто исчезла) оригиналы файлов стали с нулевым размером и появились "зашифрованные"  файлы. Понимаю, что не восстановить, файлы - пустышки.
      Хотелось бы 
      1. Пополнить Вашу базу,
      2. Понять, какие действия привели к данной ситуации (для дальнейшего исключения подобного),
      3. Почистить систему (после чистки планирую бэкап личных файлов с системного диска и после переустановку системы),
      4. Совет по действенным способам защиты от подобных случаев на будущее.
      Спасибо!
       
      P.S. Файл с вирусом переименовал сразу. В оригинале был recovery.hta
      Стоял TeamViewer - удалил сразу, до запуска Farbar
      Addition.txt files.zip FRST.txt RECOVERY.txt RECOVERY_app_hta.zip
    • От lmnch
      Здравствуйте, помогите с расшифровкой файлов с расширением eye
      Addition.txt eye.zip FRST.txt
    • От Woozey
      Добрый день, попался шифровальщику [decodeacrux@gmail.com][MJ-ZV7502894316].Acrux
       
      Сообщение от модератора thyrex Перемещено из Уничтожения вирусов  
      CollectionLog-2021.03.31-23.23.zip
    • От VitProff
      Здравствуйте!
      Обращаюсь за помощью по расшифровке файлов базы данных 1С после шифровальщика.
      Расширение шифрованных файлов [yourfiles1@cock.li].NOV
       
      Пожалуйста помогите если есть возможность расшифровать.
    • От Etmeranta
      Здравствуйте!
      После проникновения в сеть шифровальщика blackbutterfly@startmail.com предположительно через RDP, рабочие станции astra linux common editionв локальной сети отказываются соединятся по RDP с сервером, на котором даже следов шифровальщика нет. Рабочие станции под управлением win работают с этим сервером в штатном режиме. Не подскажите в чем может быть проблема? ссылка на вопрос и ответ по шифровальщику в другой ветке форума
×
×
  • Создать...