bulik 0 Опубликовано 19 апреля, 2017 Share Опубликовано 19 апреля, 2017 (изменено) Система Windows Server 2008 r2. Доступ по rdp. Почтой пользователи на сервере не пользуются. Заражение произошло предположительно 15.04.17. Результаты сканирования scan.rar и пример зараженного файла Реквизиты.docx.rar Изменено 19 апреля, 2017 пользователем bulik Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 19 апреля, 2017 Share Опубликовано 19 апреля, 2017 Правила существуют не для того, чтобы их нарушать и встревать в чужую тему. Начните с Правил оформления запроса о помощи + пример файла !!! READ THIS - IMPORTANT !!!.txt пришлите Ссылка на сообщение Поделиться на другие сайты
bulik 0 Опубликовано 19 апреля, 2017 Автор Share Опубликовано 19 апреля, 2017 Прошу прощения, немного поторопился. Файл !!! READ THIS - IMPORTANT !!!.txt: ===============================# aes-ni ransomware #===============================█████╗ ███████╗███████╗ ███╗ ██╗██╗██╔══██╗██╔════╝██╔════╝ ████╗ ██║██║███████║█████╗ ███████╗█████╗██╔██╗ ██║██║██╔══██║██╔══╝ ╚════██║╚════╝██║╚██╗██║██║██║ ██║███████╗███████║ ██║ ╚████║██║╚═╝ ╚═╝╚══════╝╚══════╝ ╚═╝ ╚═══╝╚═╝SPECIAL VERSION: NSA EXPLOIT EDITIONINTRO: If you are reading it, your server was attacked with NSA exploits.Make World Safe Again.SORRY! Your files are encrypted.File contents are encrypted with random key (AES-256 bit; ECB mode).Random key is encrypted with RSA public key (2048 bit).We STRONGLY RECOMMEND you NOT to use any "decryption tools".These tools can damage your data, making recover IMPOSSIBLE.Also we recommend you not to contact data recovery companies.They will just contact us, buy the key and sell it to you at a higher price.If you want to decrypt your files, you have to get RSA private key.In order to get private key, write here:0xc030@protonmail.ch0xc030@tuta.ioaes-ni@scryptmail.comIMPORTANT: In some cases malware researchers can block our e-mails.If you did not receive any answer on e-mail in 48 hours,please do not panic and write to BitMsg (https://bitmsg.me) address: BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhNor create topic on https://www.bleepingcomputer.com/and we will find you there. If someone else offers you files restoring, ask him for test decryption.Only we can successfully decrypt your files; knowing this can protect you from fraud.You will receive instructions of what to do next.You MUST refer this ID in your message:SERV#03356D687FF550EF5E0B092E18A4E753Also you MUST send all ".key.aes_ni_0day" files from C:\ProgramData if there are any.===============================# aes-ni ransomware #=============================== Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 19 апреля, 2017 Share Опубликовано 19 апреля, 2017 Логи по правилам где? Ссылка на сообщение Поделиться на другие сайты
bulik 0 Опубликовано 19 апреля, 2017 Автор Share Опубликовано 19 апреля, 2017 Еще раз извините, нервы... ((( CollectionLog-2017.04.19-17.10.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 19 апреля, 2017 Share Опубликовано 19 апреля, 2017 Работа с дешифратором: 1. Скачайте архив с дешифратором и инструкцией на английском (все от авторов шифровальщика) по ссылке https://yadi.sk/d/NdMGw3jU3H7HMZи разархивируйте в отдельную папку. Архив под паролем, чтобы не было ложных срабатываний антивируса. Пароль отправлен в ЛС. 2. Скачайте архив с ключом по ссылке https://www.sendspace.com/file/icaw1yи разархивируйте в папку с дешифратором (для удобства). 3. Следуйте указаниям в файле с инструкцией для расшифровки. Если ключей несколько, повторите п. 3 для каждого из них По окончании расшифровки сообщите результат. Ссылка на сообщение Поделиться на другие сайты
bulik 0 Опубликовано 19 апреля, 2017 Автор Share Опубликовано 19 апреля, 2017 Вроде все расшифровалось. Спасибо вам огромное! Осталось понять, как эта гадость пролезла, да еще с админскими правами... Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 19 апреля, 2017 Share Опубликовано 19 апреля, 2017 Осталось понять, как эта гадость пролезла через эксплойт АНБ. Ссылка на сообщение Поделиться на другие сайты
Chiper 0 Опубликовано 20 августа, 2017 Share Опубликовано 20 августа, 2017 Работа с дешифратором: 1. Скачайте архив с дешифратором и инструкцией на английском (все от авторов шифровальщика) по ссылке https://yadi.sk/d/NdMGw3jU3H7HMZи разархивируйте в отдельную папку. Архив под паролем, чтобы не было ложных срабатываний антивируса. Пароль отправлен в ЛС. 2. Скачайте архив с ключом по ссылке https://www.sendspace.com/file/icaw1yи разархивируйте в папку с дешифратором (для удобства). 3. Следуйте указаниям в файле с инструкцией для расшифровки. Если ключей несколько, повторите п. 3 для каждого из них По окончании расшифровки сообщите результат. Если возможно то и мне ключ для разархивирования. Заранее спасибо!!! Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 августа, 2017 Share Опубликовано 21 августа, 2017 @Chiper, создавайте свою тему и выполняйте Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения