Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день!

Данный вирус зашифровал нам все базы 1С на сервере.

Подскажите, пожалуйста,возможно ли восстановить данные?

архив.7z

Опубликовано

Здравствуйте!

 

Степень распространения этого типа вымогателя низкая, поэтому у нас нет информации о возможности расшифровки.

Если нужен официальный ответ, обратитесь в ТП сюда или сюда.

Опубликовано

Да нет, не нужен... Нужны были данные.

Спасибо за оперативный ответ!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Eureka911
      Автор Eureka911
      Добрый день.
      Сегодня во время еженедельной полной проверки системы Касперским, появилось сообщение об обнаружении трояна MEM:Trojan.Win32.SEPEH.gen.
      Удалить его касперский не смог. 
      Каких то подозрительных процессов я не обнаружил.
      Логи прилагаю.
      Прошу помочь разобраться что это и как убрать. Заранее спасибо.
      Addition.txt FRST.txt
      Касперский 2026.07.05-12.33.txt
    • Olegon_Drrr
      Автор Olegon_Drrr
      Добрый день, поймали шифровальщик diametr.exe 
      текст сообщения следующий
      🔒 WHAT HAPPENED? 🔒

      Your network has been breached. All your critical files, databases, and backups are encrypted.

      Do not waste time. Do not involve law enforcement. Do not try recovery tools — they will destroy your data permanently.

      📆 Deadline: 48 hours

      🔗 Our emaif for contact (use ProtonMail for write email): decrypcenter@onionmail.org

      There you will find:
      - Your personal decryption tool (unique ID: 86d0911e5fb69b003a8f058f712f77c230bb9c059e4e04a3a12b9a32d237a99)
      - Proof that we have your data (sample decryption)
      - Negotiation chat (if you cooperate)

      ⚠️ IMPORTANT:
      1. Do not rename, move, or modify encrypted files.
      2. Only Monero or Bitcoin are accepted. No chargebacks.

      📎 Your unique ID:
      86d0911e5fb69b003a8f058f712f77c230bb9c059e4e04a3a12b9a32d237a99


      We are not a political group. We are a business. Pay and move on.
       
      лежит в текстовом файле в корне дисков, расширения файлов теперь xlsx.5c81a2d889169033
      В наличии также есть екзешники и команды, которыми зашифровывались диски, такого типа 
      diametr.exe b0....b5 -r E:
      Addition.txt FRST.txt Crypt.zip
    • renekka_s
      Автор renekka_s
      Что мы имеем... Стал сильно нагреваться ноут (Ardor neo) у них и так достаточно высокая температура при загрузке, но доходило >100 после замены термопасты и чистки. 
      1. AVZ не открывался до переименования как и Autoruns
      2. Dr.web дважды сканировал и находил троян, удалял - не помогало
      3. Естественно редактор реестра невозможно открыть, через cmd пробовала менять доступ и AVZ, все равно закрывается.



      В логе dr.web была строчка про
      ProgramData\fqupxqtgiuun.exe
      powercfg.exe
      conhost.exe.
      лежит по пути C:\ProgramData\fqupxqtgiuun.exe цифровой подписи нет и тд. через авторан посмотрели что к нему относится служба FMGEEOFG   

      HKLM\System\CurrentControlSet\Services
      Addition.txtShortcut.txt
      wmic process get ProcessId,ExecutablePath | findstr /i "ProgramData" --->
      FMGEEOFG
      ImagePath:
      C:\ProgramData\fqupxqtgiuun.exe

      с командой sc stop FMGEEOFG и sc delete FMGEEOFG успех выдает успех но при обновлении авторана служба снова появляется, хотя fqupxqtgiuun.exe в диспетчере я не увидела.

      Имя_службы: FMGEEOFG
              Тип                  : 10  WIN32_OWN_PROCESS
              Тип_запуска          : 2   AUTO_START
              Управление_ошибками  : 1   NORMAL
              Имя_двоичного_файла  : C:\ProgramData\fqupxqtgiuun.exe
              Группа_запуска       :
              Тег                  : 0
              Выводимое_имя        : FMGEEOFG
              Зависимости          :
              Начальное_имя_службы : LocalSystem

      хз что делать в общем. я не разбираюсь и понять не могу как исправить.
      avz_log.txtFRST.txt
    • mibds
      Автор mibds
      Здравствуйте. 
       
      Значит все по стандарту.
       
      Секретарше прислали письмо на почту, со вложенным архивом "Сообщение о задолженности". (Прикрепил к теме архив, переименовал в "осторожно вирус")
       
      В архиве скрипт *.js.  с названием "сообщение о задолженности"
       
      Девочка архив распаковала, файл попыталась открыть, скрипт видимо сработал и заблокировались все файлы excel (xls, xlsx) и word (doc).
       
      Вроде другие файлы не пострадали... но могу и не знать. Знаю точно что не пострадали PDF-файлы и те файлы где стояла галка "только чтение", но таких единицы к сожалению.
       
      Прикрепил для примера архив "несколько зашифрованных файлов для примера". Там 5 зашифрованных файлов, точно не скажу "доки" или "эксели".
       
      Прикрепил логи
       
      несколько зашифрованных файлов для примера.rar
      CollectionLog-2015.10.08-17.09.zip
    • TonTonchik
      Автор TonTonchik
      Здраствуйте, похожий форму уже был, но проблема не устраняется. Windows не может его удалить

×
×
  • Создать...