crusis.to Шифровальщик id-C25CA468.[r3ad4@aol.com].r3f5s на сервере 1с

[shura2595]

Здравствуйте!

Сервер 1с словил вирус-шифровальщик. Остальные компьютеры в локальной сети были проверены, данный вирус туда не попал.

На рабочем столе было 5 окон с одним из стандартных сообщений о шифровании данных и связи по эл. почте для из расшифровке.

Во вложении 1. пример зашифрованного файла, 2. архив с предполагаемым телом вируса (winhost.exe - расширение изменено на .virus). 3. архив с логом системы.

Помогите расшифровать данные, если это возможно

Winhost.virus.rar Поддержка.txt.id-C25CA468.[r3ad4@aol.com].r3f5s CollectionLog-2020.06.11-16.23.zip

[mike 1]

Цитата

Система загружена в режиме защиты от сбоев (SafeMode)

Сделайте логи из обычного режима. 

[shura2595]

14.06.2020 в 22:18, mike 1 сказал:

Сделайте логи из обычного режима. 

 

ПрикрепилCollectionLog-2020.06.16-08.42.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте! 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\1c\AppData\Roaming\Info.hta','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\1c\AppData\Roaming\Info.hta','x32');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Economist\AppData\Roaming\Info.hta','64');
 DeleteFile('C:\Users\1c\AppData\Roaming\Info.hta','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\1c\AppData\Roaming\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Economist\AppData\Roaming\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64');
ExecuteSysClean;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером. 
 

[shura2595]

Не закрывайте пожалуйста тему, логи загружу сегодня-завтра.

[shura2595]

18.06.2020 в 08:51, mike 1 сказал:

Сделайте новые логи Автологгером. 

Добрый день!

Скрипт выполнил,CollectionLog-2020.07.17-09.36.zip новые логи во вложении

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[shura2595]

Доброго дня!
Извиняюсь за долгое отсутствие.

 Файлы прикрепляю. Addition.txt

FRST.txt

[shura2595]

Добрый день! Помогите пожалуйста,

[mike 1]

Запрос в техподдержку на расшифровку делали?

[shura2595]

12.11.2020 в 23:04, mike 1 сказал:

Запрос в техподдержку на расшифровку делали?

Нет. Только переписка выше в этой теме.