поймал шифровальщика на сервер

[Владислав Стефанов 0]

Зашифрованы данные на файловом сервере. Антивируса на этой машине нет. Коммерческая лицензия стоит на терминальном сервере.

Файлы имеют вид - "C:\4B423931373630372E6D7375  размер остался прежний 

 

Сообщение от злоумышленников лежит в файле "README.txt", в каждой папке и содержит:

 

 

 Your files are encrypted!

YOUR PERSONAL ID

zWJzqdtdoI13AFRIwRMhI6G5IEVmC6W7NR8PU7PB

---------------------------------------------------------------------------------

Discovered a serious vulnerability in your network security.

No data was stolen and no one will be able to do it while they are encrypted.

For you we have automatic decryptor and instructions for remediation.

---------------------------------------------------------------------------------

You will receive automatic decryptor and all files will be restored

---------------------------------------------------------------------------------

* To be sure in getting the decryption, you can send one file(less than 10MB) to excaliburarthur@protonmail.com or symbyosis@protonmail.com In the letter include your personal ID(look at the beginning of this document).

Attention!

Attempts to self-decrypting files will result in the loss of your data

Decoders other users are not compatible with your data, because each user's unique encryption key

---------------------------------------------------------------------------------

 

 

 

FRST.rar

Изменено 6 июля, 2018 пользователем Владислав Стефанов

[thyrex 1 468]

Порядок оформления запроса о помощи

[Владислав Стефанов 0]

zip-архив с собранными логами

CollectionLog-2018.07.06-17.28.zip

[thyrex 1 468]

Это CryptConsole3. С расшифровкой помочь не сможем. Будет только зачистка следов мусора.
Удивительно, что система еще работает, хотя пошифрованы (или, как минимум, просто переименованы) файлы и в системных папках.
Некоторые даже по два раза, как минимум

C:\Windows\364437333738364436433334324434423432333233373335333833363339333432443635364537353245344334463437

 

Да и случай с шифровальщиком Cryakl (пример файла)

C:\Users\kuzmin\email-salazar_slytherin10@yahoo.com.ver-CL 1.3.1.0.id-@@@@@F4D1-D603.randomname-FHIJLMNOPRRSTVWWXZAABDEFFHIJJL.MNO.pqr

Вас тоже ничему не научил, похоже. Пароль от RDP смените.


1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
S1 admjnvqv; \??\C:\Windows\system32\drivers\admjnvqv.sys [X]
S1 catcwdga; \??\C:\Windows\system32\drivers\catcwdga.sys [X]
S1 dwnjuvvl; \??\C:\Windows\system32\drivers\dwnjuvvl.sys [X]
S1 epefxxsn; \??\C:\Windows\system32\drivers\epefxxsn.sys [X]
S1 fagghtmy; \??\C:\Windows\system32\drivers\fagghtmy.sys [X]
S1 gtwaqkfx; \??\C:\Windows\system32\drivers\gtwaqkfx.sys [X]
S1 jlmthmyo; \??\C:\Windows\system32\drivers\jlmthmyo.sys [X]
S1 jvgcxiob; \??\C:\Windows\system32\drivers\jvgcxiob.sys [X]
S1 ktihrjus; \??\C:\Windows\system32\drivers\ktihrjus.sys [X]
S1 nkppmato; \??\C:\Windows\system32\drivers\nkppmato.sys [X]
S1 qwnllxjm; \??\C:\Windows\system32\drivers\qwnllxjm.sys [X]
S1 ruiwncek; \??\C:\Windows\system32\drivers\ruiwncek.sys [X]
S1 sbwqlwfz; \??\C:\Windows\system32\drivers\sbwqlwfz.sys [X]
Task: {32F4C3FB-D879-4A8B-B86D-0EB8AB2E1B24} - \{70702AE1-BA4D-4FE4-9A38-E05FE82CC7D4} -> No File <==== ATTENTION

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после фикса.

[Владислав Стефанов 0]

создал лог-файл 

Fixlog.txt

[thyrex 1 468]

Больше помочь нечем