шифровальщик [Worldcry@cock.li] на сетевом накопителе

[Gut! 0]

Доброго времени суток. кто-то в сети подхватил вирус шифровальщик, который попортил файлы на сетевом накопителе. Почти все удалось из бэкапов, кроме одной важной папки. все зашифрованные файлы имеют разрешение  PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_to_make_the_payment.id-F25E5DE4.[Worldcry@cock.li]

В каждой папке с зашифрованными файлами лежит файл HOW TO DECRYPT FILES.txt со следующим содержанием:

 

All your important files were BLOCKED on this computer.

 

Encrtyption was produced using unique KEY generated for this computer. 

 

To decrypted files, you need to otbtain private key. 

The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;

The server will destroy the key within 24 hours after encryption completed.

REMEMBER YOU HAVE ONLY 24 HOURS TO PAY EVERITHING IS AUTOMATICALLY!

To retrieve the private key, you need to pay 0.7 BTC

 

Bitcoins have to be sent to this address: 3J1MD7EAzdaYeWBDA71t7NShkC64W4a41T

 

After you've sent the payment send us an email to : Email_Decryptor_Payment@scryptmail.com  with subject : ERROR-ID-63100606(0.7BTC)

If you are  not familiar with bitcoin you can buy it from here :

SITE : www.localbitcoin.com

If you try to use third party for help  we will delete all your files

After we confirm the payment , we send the private key so you can decrypt your system.

 

просьба помочь с расшифровкой

CollectionLog-2018.06.25-15.37.zip

[thyrex 1 468]

Пример зашифрованного doc или docx файла прикрепите в архиве к следующему сообщению

 

c:\users\Лукьянчук.cltrans\documents\visual studio 2010\projects\windowsservice1\windowsservice1\bin\debug\windowsservice1.exe - Ваше?

 

 

Выполните скрипт в AVZ

begin
DeleteService('yewjbkjo');
 DeleteService('scfezisg');
 DeleteService('sekjiquc');
 DeleteService('spkvefpg');
 DeleteService('sxlgkebf');
 DeleteService('tljdlfuo');
 DeleteService('iddooruj');
 DeleteService('aofliykn');
 DeleteService('ayykuvfk');
 DeleteService('azfyjzmt');
 DeleteService('blxklozv');
 DeleteService('ddfsgese');
 DeleteService('dkxtekbl');
 DeleteService('erpfqsbb');
 DeleteFile('C:\Windows\system32\drivers\aofliykn.sys','64');
 DeleteFile('C:\Windows\system32\drivers\ayykuvfk.sys','64');
 DeleteFile('C:\Windows\system32\drivers\azfyjzmt.sys','64');
 DeleteFile('C:\Windows\system32\drivers\blxklozv.sys','64');
 DeleteFile('C:\Windows\system32\drivers\ddfsgese.sys','64');
 DeleteFile('C:\Windows\system32\drivers\dkxtekbl.sys','64');
 DeleteFile('C:\Windows\system32\drivers\erpfqsbb.sys','64');
 DeleteFile('C:\Windows\system32\drivers\iddooruj.sys','64');
 DeleteFile('C:\Windows\system32\drivers\scfezisg.sys','64');
 DeleteFile('C:\Windows\system32\drivers\sekjiquc.sys','64');
 DeleteFile('C:\Windows\system32\drivers\spkvefpg.sys','64');
 DeleteFile('C:\Windows\system32\drivers\sxlgkebf.sys','64');
 DeleteFile('C:\Windows\system32\drivers\tljdlfuo.sys','64');
 DeleteFile('C:\Windows\system32\drivers\yewjbkjo.sys','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Gut! 0]

c:\users\Лукьянчук.cltrans\documents\visual studio 2010\projects\windowsservice1\windowsservice1\bin\debug\windowsservice1.exe - Ваше?

Да, это наши тесты

 

пример файлов во вложении

скрипт смогу выполнить утром, когда буду за рабочим компьютером

Спасибо

кажется не прикрепился архив

еще одна попытка

файлы.zip

[thyrex 1 468]

Как я и предполагал, у Вас поработало два шифратора. И если с первым можно было все восстановить, то после второго - увы

[Gut! 0]

это шифровальщик на шифровальщик? или часть файлов одним, часть другим? может быть можно расшифровать что-то, зашифрованное только первым? можно ли как-то определить, какие файлы зашифрованны каким из шифровальщиков?

[thyrex 1 468]

PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_to_make_the_payment - это расширение приписывает первый шифровальщик,

а это id-F25E5DE4.[Worldcry@cock.li].bip - второй

 

Вполне возможно, что от второго шифратора тоже должны быть сообщения от вымогателей - Info.hta

[Gut! 0]

Info.hta найти не смог, нашел только файл FILES ENCRYPTED.txt с содержанием

 

all your data has been locked us

You want to return?

write email Worldcry@cock.li

 

прилагаю лог анализа системы после выполнения скрипта avz, пару файлов(jpeg, doc не нашел), зашифрованных только одним и только другим шифровальщиком. кроме этого, зашифрованный файлы, который выдернул программой восстановления удаленных файлов. имеют нормальное расширение xls, и docx, но точно так же не открываются

 

 

нашел Info.hta:

 

All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Worldcry@cock.li

Write this ID in the title of your message F25E5DE4

In case of no answer in 24 hours write us to theese e-mails:Worldcry@cock.li

You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 

Free decryption as guarantee

Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 

How to obtain Bitcoins

The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 

https://localbitcoins.com/buy_bitcoins 

Also you can find other places to buy Bitcoins and beginners guide here: 

http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 

Attention!

Do not rename encrypted files. 

Do not try to decrypt your data using third party software, it may cause permanent data loss. 

Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 

CollectionLog-2018.06.26-08.20.zip

файлы.zip

[thyrex 1 468]

нашел только файл FILES ENCRYPTED.txt

Да, это тоже файл для связи от второго шифратора.

 

Присланные восстановленные удаленные файлы уже зашифрованы вторым шифратором.

 

Расшифрованные файлы после первого шифратора https://www.sendspace.com/file/jexjjv

Используйте любой из этих файлов, его зашифрованную копию и https://decrypter.emsisoft.com/xoristдля подбора ключа (если не ошибаюсь, найдет где-то после 92%) и расшифровки.

Инструкцию по запуску найдете по ссылке на дешифратор.

Только предварительно файлы, пострадавшие только от первого шифратора, скопируйте в отдельную папку перед расшифровкой.

 

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Gut! 0]

Отчет во вложении. с файлами .[Worldcry@cock.li].bip вообще бесполезно что-то делать, или есть шанс? с первым шифровальщиком пока идет анализ

FRST.zip

[thyrex 1 468]

 

 

с файлами .[Worldcry@cock.li].bip вообще бесполезно что-то делать, или есть шанс?

Расшифровки всех последних вариантов CrySis нет ни в одном вирлабе. Расшифровка ранних версий появилась только после слива ключей самими злоумышленниками.

 

(ATTENTION: The user is not administrator)

 

Логи Farbar придется переделать под правами администратора

[Gut! 0]

вот от имени администратора

FRST.zip

[thyrex 1 468]

2018-02-02 16:04 - 2018-02-02 16:04 - 000056320 ____T () C:\Users\Администратор.CLTRANS\AppData\Local\Temp\terminal.exe

2018-02-02 16:02 - 2018-06-13 08:07 - 000056320 ____T () C:\Users\Лукьянчук.CLTRANS\AppData\Local\Temp\terminal.exe

2018-06-11 16:18 - 2018-06-11 16:31 - 000056320 ____T () C:\Users\Старцев\AppData\Local\Temp\terminal.exe

 

тоже известны?

[Gut! 0]

Был в отпуске, поэтому не отвечал. terminal.exe это утилита микротика, тоже наше. Осталась последняя надежда - отправить мошенникам самый ценный файл в ответ на "Before paying you can send us up to 1 file for free decryption. ". Вопрос только какой файл отправить, не дважды зашифрованный же. тот который восстанавливали из удаленных, но дописать к нему Worldcry@cock.li? или это вообще особо бесперспективная идея?

[thyrex 1 468]

Если файлов, пострадавших только от второго шифратора, нет, посылайте восстановленный с дописанным расширением.

 

Правда тут все равно есть загвоздка. Учитывая длинное расширение для первого шифратора, есть вероятность того, что файл все же был зашифрован, но остался не переименован.