Перейти к содержанию

Шифровальщик COMBO

Вячеслав Черныш

Автор Вячеслав Черныш
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Вячеслав Черныш Новичок

Вячеслав Черныш

Опубликовано
Опубликовано

Вирус зашифровал все документы, фото, архивы на сервере (расшаренная папка и диск Д), диск Ц при этом остался не затронутым. Помогите, добрые люди. Рабочие файлы и бухгалтерия "ляпнули". ( 

Высылаю Отчеты сканирования и сбор логов. Имеются так же идентичные файлы ДО и После заражения 

Заранее благодарен


Добавил архив с зашифрованным и здоровым файлами

CollectionLog-2018.08.16-12.07.zip

post-50745-0-32069600-1534411815_thumb.jpg

files.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Если есть текстовый (или html) файл с требованием выкупа, его тоже упакуйте и прикрепите к следующему сообщению.

 

Источник заражения скорее всего не тот компьютер, на котором собраны логи. По журналам сервера попробуйте определить по времени кто был подключен.

Ссылка на комментарий
Поделиться на другие сайты
Вячеслав Черныш Новичок

Вячеслав Черныш

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Если есть текстовый (или html) файл с требованием выкупа, его тоже упакуйте и прикрепите к следующему сообщению.

 

Источник заражения скорее всего не тот компьютер, на котором собраны логи. По журналам сервера попробуйте определить по времени кто был подключен.

Добрый день. Файлы имеют вот такую надпись:

TeamViewer_Setup_uk-ckq.exe.id-3EECD8D7.[bitpandacom@qq.com]

Во всех случаях, идентичная составляющая это - id-3EECD8D7.[bitpandacom@qq.com]

Я сделал запрос на этот ящик, где мне ответили:

I’m an email operator. I'll try to answer all your questions and help you to decrypt files. To start answer:

1. How many computers with local disks are encrypted?

2. How many external hard drives or NAS are encrypted?

3. Write your ID. (you can find it in the name of the files)

 

Переделаю логи и прикреплю сейчас

Здравствуйте!

 

Если есть текстовый (или html) файл с требованием выкупа, его тоже упакуйте и прикрепите к следующему сообщению.

 

Источник заражения скорее всего не тот компьютер, на котором собраны логи. По журналам сервера попробуйте определить по времени кто был подключен.

Судя по скрину, была взломана учётка Бух2 и было выполнено подключение к серверу Base

post-50745-0-10354400-1534419661_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

взломана учётка Бух2

Если сможете определить компьютер, с которого заходили под этой учеткой, соберите на нем логи. Но хочу предупредить, что расшифровки для Dharma (.cezar Family) нет. Будет только очистка следов вымогателя.
Ссылка на комментарий
Поделиться на другие сайты
Вячеслав Черныш Новичок

Вячеслав Черныш

Опубликовано
  • Автор
Опубликовано

 

взломана учётка Бух2

Если сможете определить компьютер, с которого заходили под этой учеткой, соберите на нем логи. Но хочу предупредить, что расшифровки для Dharma (.cezar Family) нет. Будет только очистка следов вымогателя.

 

Скорее всего, учётку взломали перебором, подключались к серверу через РДП, потому нет никакого локального компа, из которого пришел вирус. Вымогатель напрямую подключился и запустил вирус.

 

Получается, что файлы потеряны? 

Пришли требования:

1.  Decoding cost

The cost of decryption is 3 500 $. We receive payment only in BITCOINS. (Bitcoin is a form of digital currency)

All your Remote desktop passwords hacked. Change all user passwords to more harder. Immediately!

 

2.  Attention!

Do not rename encrypted files. 

Do not try to decrypt your data using third party software, it may cause permanent data loss. 

Do not trust anyone! Only we have keys to your files! Without this keys restore your data is impossible. 

 

3.  Free decryption as guarantee

You can send us up to 1 file for free decryption.

Size of file must be less than 1 Mb (non archived). We don`t decrypt for test DATABASE, XLS and other important files. Remember this.

 

4.  Decryption process:

To decrypt the files, transfer money to our bitcoin wallet number: "1Q1rUuBjq9HmzDsuT9EZoYWG7J1sQFPLca". As we receive the money we will send you:

1.     Decryption program.

2.     Detailed instruction for decryption. 

3.     And individual keys for decrypting your files.

 

5.  The process of buying bitcoins:

The easiest way to buy bitcoins: https://localbitcoins.com/

                                                   https://www.bitpanda.com/

                                                   https://paxful.com/

                                                   https://www.abra.com/

IMPORTANT! Don`t use coinbase! it take more than 2 week to make coinbase verification.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

подключались к серверу через РДП

Пароль смените.

 

Получается, что файлы потеряны?

У нас возможности для расшифровки нет. Но мы - не ТП лаборатории. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Если появится, вам сообщат.

 

Насчет связи со злодеями, хорошо подумайте. Есть печальные прецеденты.

 

Проверьте уязвимые места системы:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты
Вячеслав Черныш Новичок

Вячеслав Черныш

Опубликовано
  • Автор
Опубликовано

Если кто поможет с расшифровкой, вознаградим материально. Информация крайне ценная для нашего предприятия

Ссылка на комментарий
Поделиться на другие сайты
  • 4 недели спустя...
AndrShipov Новичок

AndrShipov

Опубликовано
Опубликовано

ОСТОРОЖНО ЖУЛИКИ!!!!!

Добрый день. Столкнулся с той же проблемой.bitpandacom

Прочитав форум по тексту Выше решил связаться командой bitpandacom

Связались по указанному адресу электронной почты. Начали преписку. Неделю торговались После чего договорились о цене.

Я перечислил деньги в Биткоинах на их кошелек.

В ответ получил письмо, что они еще хотят денег и расшифровку пришлют после того как дополнительно отправим 750$/

В общем веры им нет, не отправляйте Ваши деньги!!!!!!

  • Не согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Hendehog Продвинутый

Hendehog

Опубликовано
Опубликовано

ОСТОРОЖНО ЖУЛИКИ!!!!!

Добрый день. Столкнулся с той же проблемой.bitpandacom

Прочитав форум по тексту Выше решил связаться командой bitpandacom

Связались по указанному адресу электронной почты. Начали преписку. Неделю торговались После чего договорились о цене.

Я перечислил деньги в Биткоинах на их кошелек.

В ответ получил письмо, что они еще хотят денег и расшифровку пришлют после того как дополнительно отправим 750$/

В общем веры им нет, не отправляйте Ваши деньги!!!!!!

И сколько ты им отправил уже?

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kocks33
      шифровальщик JFZRZNDDZ
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • Павел Ф.
      Шифровальщик KOZANOSTRA
      Автор Павел Ф.
      Виртуальную машину с открытым извне не стандартным рдп портом зашифровал вирус KOZANOSTRA. Был установлен антивирус kaspersku Endpoint Securitu. 
      Помогите с расшифровкой. Система под переустановку, нужны файлы и базы
    • valkovaleksandr
      Шифровальщик cyberfear
      Автор valkovaleksandr
      Добрый день! Просьба помочь с  Шифровальщик cyberfear.
      Вот такая фигня вылазит при открытии текстовиков:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your personal ID: *****sJm4WtmxxeX8*datastore@cyberfear.com
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us to this e-mail: datastore@cyberfear.com
      In case of no answer in 24 hours write us to this backup e-mail: back2up@swismail.com
      Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
      Contact us soon, because those who don't have their data leaked in our press release blog and the price they'll have to pay will go up significantly.
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt README_SOLVETHIS.txt Привет.docx Текстовый документ.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Caine
      Шифровальщик KOZANOSTRA
      Автор Caine
      Добрый день.  
      Поймал шифровальщика KOZANOSTRA. На ПК был открыт RDP.  Прошу помощи в расшифровке данных
×
×
  • Создать...