Шифровальщик lockme зашифровал все шары NAS. Трабл в опасной RCE-уязвимости в RouterOS на MikroTikах.

[Nemytchenkov 0]

Шифровальщик .lockme зашифровал все шары NAS.

 

изучая понял, что проблема была в роутере Mikrotik, точнее в опасной RCE-уязвимости, найденной в RouterOS, на устройствах латвийского производителя MikroTik.  

 

https://xakep.ru/2018/03/19/mikrotik-rce/

 

Прошу помощи в расшифровке домашней библиотеки фото+виде+документы.

 

логи во вложении

 

 

прошу помощи в расшифровке домашней библиотеки фото+виде+документы.

[Mark D. Pearlstone 1 704]

 

 

логи во вложении

Кнопку "Загрузить" видимо не нажали.

[Nemytchenkov 0]

Шифровальщик .lockme зашифровал все шары NAS.

 

изучая понял, что проблема была в роутере Mikrotik, точнее в опасной RCE-уязвимости, найденной в RouterOS, на устройствах латвийского производителя MikroTik.  

 

https://xakep.ru/2018/03/19/mikrotik-rce/

 

Прошу помощи в расшифровке домашней библиотеки фото+виде+документы.

 

логи во вложении

 

 

прошу помощи в расшифровке домашней библиотеки фото+виде+документы.

так точно. не нажал загрузить. исправлено. логи в аттаче.

логи во вложении

Кнопку "Загрузить" видимо не нажали.

 

CollectionLog-2018.04.07-12.41.zip

[mike 1 1 093]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Nemytchenkov 0]

прилагаю отчет FRST.txt. 

и Addition.txt

 

 

FRST.txt

Addition.txt

[mike 1 1 093]

Зашифрованный файл в архиве пришлите.

[Nemytchenkov 0]

высылаю зашифрованные .txt .doc и .pdf + сам текст вымогательства в JPG  и TXT

 

Зашифрованный файл в архиве пришлите.

 

Lockme.rar

[mike 1 1 093]

А сам шифровальщик сохранился?

[Nemytchenkov 0]

Не знаю , после перезагрузки роутера и думаю следа от него не осталось ((( все же описывали коллеги вот здесь https://xakep.ru/2018/03/19/mikrotik-rce/ 

хотя не знаю, может где на разделах закодированного Linux NAS сервера остался.

я NAS выключил и более, до понимания как его расшифровать не включал 

 

 

 

А сам шифровальщик сохранился?

[mike 1 1 093]

 

 

все же описывали коллеги вот здесь https://xakep.ru/201.../mikrotik-rce/

Уязвимость и что? Использовать уязвимость мог кто угодно для загрузки чего либо на исполнение.

[Nemytchenkov 0]

Хорошо. Как и где его искать? К сожалению я не спец. , но все что поможет раскодировать мои файлы готов предоставить

дайте вектор куда глядеть

 

 

 

 

все же описывали коллеги вот здесь https://xakep.ru/201.../mikrotik-rce/

Уязвимость и что? Использовать уязвимость мог кто угодно для загрузки чего либо на исполнение.

 

[mike 1 1 093]

 

 

 Как и где его искать?

Изучайте логи, смотрите что запускал злоумышленник. Проверьте папки %Temp% 

[Intrerio 0]

Сегодня утром пришли в офис и та же ситуация. Все файлы на D'link NAS 325 зашифрованы с расширением lockme. Все договора, базы клиентов и прочее ушло в забытие.Ни у кого нет решения данной проблеммы?

[mike 1 1 093]

Попробуйте спросить в техподдержке. Хотя конечно шансов немного. 

[Edka 0]

Здравствуйте. Может появилось решение этой проблемы? Тоже обнаружил на NAS все файлы с расширением lockme. Обидно, что там много фото.