Перейти к содержанию

CRIPTON@protonmail.com или (если не получили ответа больше суток) сюда Criolo2016@yandex.ru

DeMost
 Поделиться

Рекомендуемые сообщения

DeMost

DeMost

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Столкнулись со следующей проблемой.

Через RDP был взломан сервер. Все данные зашифрованы. Файлы с данными получили расширение CPT.

Появились файлы PAROL.txt. Вот содержимое файла:

------------------------------------------

ВНИМАНИЕ,ВАШИ ФАЙЛЫ,ДОКУМЕНТЫ,ФОТО,АРХИВЫ И ПРОЧАЯ ИНФОРМАЦИЯ ЗАШИФРОВАНЫ !!!
==================================================================================
ДЛЯ РАСШИФРОВКИ ФАЙЛОВ,ВАМ НЕОБХОДИМО НАПИСАТЬ НАМ НА ПОЧТУ
CRIPTON@protonmail.com или (если не получили ответа больше суток) сюда Criolo2016@yandex.ru
============================================================================================
ПОПЫТКИ ДЕШИФРОВАТЬ ФАЙЛЫ НЕ ИМЕЯ ОРИГИНАЛЬНОГО КЛЮЧА - ПРИВЕДУТ К ПОРЧЕ ФАЙЛОВ !!!
ТАК ЖЕ,РАСШИФРОВКА ВОЗМОЖНА НЕ ПОЗЖЕ 96 ЧАСОВ С МОМЕНТА ЗАШИФРОВКИ ВАШИХ ФАЙЛОВ !!!
====================================================================================
НИ ПЕРЕУСТАНОВКА WINDOWS, НИ АНТИВИРУСЫ, УЖЕ НЕ ДЕШИФРУЮТ ВАШИ ФАЙЛЫ !!!
====================================================================================
ДЛЯ ГАРАНТИИ РАСШИФРОВКИ МОЖЕМ ДЕШИФРОВАТЬ ОДИН ФАЙЛ КОТОРЫЙ ПРИШЛЕТЕ НАМ И ВЫШЛЕМ
ВАМ ОБРАТНО !!!
====================================================================================



УКАЗЫВАЙТЕ СВОЙ ID НОМЕР


ВАШ ID ********
========================

------------------------------------------

 

Во вложении файлы с результатом работы программы FRST64.

 

Прошу помощи в расшифровке данных.

Addition.zip

FRST.zip

Изменено пользователем DeMost
DeMost

DeMost

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Начните с логов по правилам:

Порядок оформления запроса о помощи

1. На сервере установлен лицензионный Kaspersky Enterprise Security.

Проверили всем доступными средствами: KVRT DrWeb CureIt, MBAM,AdwCleaner. Найдены и удалены незначительные мелочи.

2. Лог прилагаю

CollectionLog-2017.05.15-17.12.zip

Sandor

Sandor

Опубликовано
Опубликовано

Проверьте сделана ли у Вас эта настройка.

 

Файл

C:\Users\Мультибум1\Desktop\PAROL.txt

и пару зашифрованных офисных документов упакуйте и прикрепите к следующему сообщению.

 

Далее:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PAROL.txt [2017-05-14] ()
Startup: C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PAROL.txt [2017-05-14] ()
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2017-05-14 04:14 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Мультибум1\Desktop\PAROL.txt
2017-05-14 04:11 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Менеджер1\Desktop\PAROL.txt
2017-05-14 04:05 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Администратор\Desktop\PAROL.txt
2017-05-14 04:04 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Менеджер\Desktop\PAROL.txt
2017-05-14 04:02 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Бухгалтер\Desktop\PAROL.txt
2017-05-14 04:00 - 2017-05-14 00:42 - 00001096 _____ C:\Users\backup\Desktop\PAROL.txt
2017-05-14 03:59 - 2017-05-14 00:42 - 00001096 _____ C:\Users\Administrator\Desktop\PAROL.txt
2017-05-14 03:52 - 2017-05-14 00:42 - 00001096 _____ C:\PAROL.txt
2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\Downloads\PAROL.txt
2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\Documents\PAROL.txt
2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\AppData\Roaming\PAROL.txt
2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\AppData\LocalLow\PAROL.txt
2017-05-14 03:22 - 2017-05-14 00:42 - 00001096 _____ C:\Users\aspnet\AppData\Local\PAROL.txt
2014-01-24 13:35 - 2014-01-24 13:35 - 0003584 _____ () C:\Users\Programmer\AppData\Local\Temp\eea5c842-c780-445e-b58d-88dc2c0f7639.exe
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

DeMost

DeMost

Опубликовано
  • Автор
Опубликовано

Проверьте сделана ли у Вас эта настройка.

Файл

C:\Users\Мультибум1\Desktop\PAROL.txt

и пару зашифрованных офисных документов упакуйте и прикрепите к следующему сообщению.

 

Как я понимаю, эта настройка только для рабочих станций. На рабочих станциях эта настройка нами не делалась, используются параметры по умолчанию. Но и рабочие станции не пострадали, только сервер.

 

Во вложении файл PAROL.txt, два зашифрованных офисных документа и файл Fixlog.txt.

files.zip

DeMost

DeMost

Опубликовано
  • Автор
Опубликовано

 

Как я понимаю, эта настройка только для рабочих станций

Вот настройка для серверов.

 

 

В любом случае, спасибо за информацию и помощь!

То, чем нас зашифровали, называется ccrypt, ключ умело удалили после шифрования всех файлов, обнулили свободное место на диске.

Мне не понятно, для чего вся эта активность на форуме, если уровень шифрования и умелость шифровальщиков достигли такого уровня, что вся предыдущая переписка была и есть бесполезна. Реально в большинстве случаев помогает только восстановление из резервной копии.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Hiro
      ищу ответ
      Автор Hiro
      в диспетчере задач . появились странные надписи во вкладке автозагрузка приложений вот под таким названием 1. просто 29 надпись а второй .ea65e6ad-b624-4203-a7bb-da1859b71fae Ea65e6ad-b624-4203-a7bb-da1859b71fae вот такой что это может быть?
    • PitBuLL
      Kaspersky Plus ни разу не обновил (не обновляет) базы в течении суток
      Автор PitBuLL
      Замечаю третий день подряд - Kaspersky Plus ни разу не обновил (не обновляет) базы в течении суток. 
      Сообщение в Kaspersky Plus появляется, что необходимо обновить базы.
      Сам то Kaspersky Plus почему не обновляет свои базы? 
      Настройки Kaspersky Plus по умолчанию, обновление баз соответственно должно быть автоматическим.
      Вот опять сутки прошли, пришлось обновить базы вручную.
       
       
       
       
       
    • Alexander_nn
      Получить список из раздела "Нераспределенные"
      Автор Alexander_nn
      В Kaspersky Security Center 14 есть группа 'нераспределенные'. Туда попадают ПК которые только ввели в домен, но еще не перенесли в нужную политику.
      Задача: получить список ПК из этой группы без использования интерфейса самого KSC (sql-запрос к базе данных, события попадания в эту группу и тп.) чтобы автоматизированными средствами иметь возможность этот список получить.
       
      Примечание: к сожалению в KSC не удалось найти события попадания в эту группу.
      Возможно существует запрос или хранимая процедура в базе данных KSC которая позволит получить данный список.

      Заранее благодарю за помощь.
    • Nat1910
      После поражения шифровальщиком файлы получили расширение *.cloudbow
      Автор Nat1910
      Зашифрован rdp-сервер. После поражения шифровальщиком файлы получили расширение *.cloudbow.
      Readme.txt Readme-j6b1tNHJEZ.txt Readme-zV80HApFKU.txt
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • ska79
      Неактивен пункт получить адрес dns автоматически
      Автор ska79
      Правильно ли я понимаю что автоматическое получение dns возможно только если ip адрес тоже выставлен назначатться автоматически?

×
×
  • Создать...