crusis.to Шифровальщик [openpgp@foxmail.com].pgp и сервер 1С

[Hagen]

Здравствуйте.

06 мая 2020 года сервер 1С был атакован шифровальщиком. Заражены все актуальные базы 1С. На ПК  с 1С стоял антивирус Avira Security Free. На ПК двух пользователей - Kasperky Internet Security 20.0.14.1058(k), машины пользователей не заражены. 

Добавляет в конец файла id-ECEF4C81.[openpgp@foxmail.com].pgp

Нужна помощь в расшифровке.

CollectionLog-2020.06.10-09.34.zip report1.log report2.log readme.txt.id-ECEF4C81.[openpgp@foxmail.com].pgp

[Sandor]

Здравствуйте!

 

Тип вымогателя Crysis или Dharma (.cezar Family), расшифровки нет.

Вы уверены, что заражен тот компьютер, с которого сняты логи?

 

Для верности дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Hagen]

После заражения ПК ушел на цикличную перезагрузку. Был восстановлен из образа диска. Прилагаю результаты работы программы Farbar.

Addition.txt FRST.txt

[Sandor]

55 минут назад, Hagen сказал:

Был восстановлен из образа диска

Надо было сразу об этом сообщить. Такие логи бесполезны.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Hagen]

Результат работы SecurityCheck во вложении.

SecurityCheck.txt

[Sandor]

Эту утилиту можете запускать на любом компьютере и станет ясно какие уязвимости следует закрыть.

Читайте Рекомендации после удаления вредоносного ПО

[LuxeonSl]

самое интересное что есть человек который его уже дешифрует но за космические деньги

[Sandor]

15 часов назад, LuxeonSl сказал:

самое интересное что есть человек который его уже дешифрует но за космические деньги

Посредники давно известны.

 

Сообщение от модератора Mark D. Pearlstone

Тема закрыта.