[РЕШЕНО] Шифровальщик [savemydata@qq.com].harma

[Evgen2454]

Поймал шифровальщика [savemydata@qq.com].harma, Он отработал еще 22 июня.2019 Никто не спохватился пока не полезли в сетевой каталог т.к. 1С базы крутятся на SQL и они работали. Спохватились только во вторник 26 июня 2019. Сервер работает в штатном режиме но вот файлы на сетевом диске все зашифрованы. Читал соседние темы о том что расшифровщика нету. Подскажите а работа ведется над расшифровщиком может стоит подождать? И второй вопрос прошолся по серверу рекомендуемыми антивирусными программами ничего не нашлось помогите найти как говориться дыру из которой эта пакасть проникла на сервер и как ее заделать. Прикрепляю логи собранные по рекомендациям.  

CollectionLog-2019.07.01-21.42.zip

[thyrex]

Подскажите а работа ведется над расшифровщиком может стоит подождать?

Все помощники в этом разделе не имеют никакого отношения к работе в компании, а потому подобной информацией не владеем.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Evgen2454]

Может всё-таки поможете с расшифровкой тогда?

FRST scan.rar

[thyrex]

Увы, помочь не сможем.

 

SpyHunter 5 удалите через Установку программ.

 

омогите найти как говориться дыру из которой эта пакасть проникла на сервер

Судя по тому единственному зашифрованному файлу, который есть в логах, время было не рабочее, а значит был вход по RDP.

[Evgen2454]

Так это взлом пароля или по порту дыра есть? Как и с какой стороны закрыть проблему? Без рдп не обойдусь. Работа встанет. Как защитить?

[thyrex]

И стандартный порт, и брут легкого пароля. Да и вообще это может быть доступ через недавно обнаруженную уязвимость протокола RDP.

[Evgen2454]

Что за уязвимость рдп. Можна поподробнее.

[thyrex]

https://habr.com/ru/company/solarsecurity/blog/451864/

[Гаргезул]

Может кому-то поможет. Для расшифровки г0мики-вымогатели предлагают воспользоваться программой которая формирует некий файл с ключами (ссылка для скачивания https://www.sendspace.com/file/7xgmn5),затем просят предоставить им этот файл для формирования ключа расшифровки. Сейчас они используют e-mail: savemydataqqcom@gmail.com.

Главное ничего им не платить так как ответный файл они все равно не пришлют, а потребуют еще денег.

[Екатерина Ермалович]

Добрый день. У меня такая же ситуация и такой же ящик. Я заплатила ему 800 долларов, а за ключ он попросил ещё 1000. У Вас точные данные, что он не присылает ключ?

Вам удалось расшифровать Файлы всё же?

[Гаргезул]

Добрый день. У меня такая же ситуация и такой же ящик. Я заплатила ему 800 долларов, а за ключ он попросил ещё 1000. У Вас точные данные, что он не присылает ключ?

Вам удалось расшифровать Файлы всё же?

 

Расшифровать файлы они сами не могут, так как прецедентов не было. Любая информация что кому-то за деньги расшифровали не подтвердилась. Больше не платите так как не выполняют то что пишут.

[Екатерина Ермалович]

Так а Вы здесь к Касперскому не обращались. Здесь написано на форуме, что решили этот вопрос, т.е. дошифровывают

Они мне дали ящик якобы последнего человека, которому всё сбросили. Мы ему написали -он ответил, но на просьбу сбросить ключ-не ответил ни слова. I

 

 

Виталий Позднев <v.a.pozdnev@gmail.com>

[Evgen2454]

Переписывался с одной конторой которая этим занимается вот была наша переписка. И к ней прикреплен расшифрованный файл который я высылал им.

 

 

Здравствуйте, Евгений.

 

К сожалению, мне самому не удалось подобрать код к Вашим файлам. Это сделал другой программист, с которым мы

работаем на контрактной основе. С кодом такого уровня сложности на настоящий момент могут справиться только

единицы, а услуги таких программистов весьма дороги.

Со своей стороны могу предложить Вам скидку 5%. Стоимость дешифратора не зависит от количества и типа файлов,

которые будут им впоследствии расшифрованы. Расшифруются все файлы, структура папок сохранится, могу сослаться на

рекомендации организаций из разных регионов России и СНГ.

Пример расшифрованного файла прилагаю.

 

С уважением,

Игорь.

Dr.SHIFRO

www.dr-shifro.ru

+7(916)788-8708 (Telegram,Viber,WhatsApp)

 

вт, 25 июн. 2019 г. в 13:12, Евгений К <evgen2454@gmail.com>:

180 тыщ очень дорого если учесть что зашифрованы только офисные файлы. Базы данных не затронуты. И если цену предложите разумную можем сработать удаленно т.к. мы находимся в красноярске.

Надеюсь на Ваше разумное предложение цены.

 

вт, 25 июн. 2019 г., 17:03 Dr Shifro <dshifro@gmail.com>:

Здравствуйте, Евгений

 

Стоимость дешифратора 180 000 руб. + выезд специалиста 5000 руб (Стоимость выезда указана для Московского региона)

Порядок работы таков:

1. Наш специалист подъезжает к Вам в офис или на дом, мы подписываем договор, в котором фиксируем стоимость работ.

2. Запускаем дешифратор и расшифровываем все файлы.

3. Вы убеждаетесь в том, что все файлы открываются, и мы подписываем акт сдачи/приемки выполненных работ.

4. Оплата исключительно по факту успешного результата дешифрации.

Также возможна удаленная работа с оплатой по договору.

 

Гарантируем расшифровку файлов всех форматов либо возврат денег.

Пример расшифрованного файла прилагаю.

 

Будьте осторожны!

Многие компании наряду с расшифровкой предлагают и более бюджетный вариант - восстановление.

При восстановлении файлы не расшифровываются, а восстанавливаются из теневых копий. В результате восстановится очень малая часть файлов (10-20%, а не 95%, как обещают) Файлы будут свалены в одну кучу и большая часть из них не будет открываться. Базы данных 1С после восстановления не заработают.

Операцию по восстановлению Вы можете проделать самостоятельно с помощью программ R-studio, Active File Recovery, Photorec, GetDataBack, ShadowExplorer.

Мы занимаемся исключительно расшифровкой файлов. После работы дешифратора каждый зашифрованный файл будет преобразован в исходный формат, файлам будут возвращены оригинальные имена, структура папок также сохранится.

Гарантируем расшифровку 100% файлов и работоспособность баз данных 1С.

Помните, что, выбирая вариант восстановления, Вы рискуете остаться и без файлов, и без денег.

 

С уважением,

Игорь.

DR.SHIFRO

сайт : www.dr-shifro.ru/

Тел. +7(916)788-8708 (Telegram,Viber,WhatsApp)

[Гаргезул]

Как Вы думаете, эти ур0ды не могут выдумать некого Виталия Позднева? Только когда будет ключ расшифровки только тогда можно утверждать.

Так а Вы здесь к Касперскому не обращались. Здесь написано на форуме, что решили этот вопрос, т.е. дошифровывают
Они мне дали ящик якобы последнего человека, которому всё сбросили. Мы ему написали -он ответил, но на просьбу сбросить ключ-не ответил ни слова. I

Виталий Позднев <v.a.pozdnev@gmail.com>

 

Могут так же ссылаться на

 

 

Виталий Позднев <v.a.pozdnev@gmail.com> Tech Support Tech Support <techsupport@bataviacomputer.com> Peterson Grayson <graysonpeter155@gmail.com>

 

Но это вымышленные персонажи.

Изменено 2 июля, 2019 пользователем Гаргезул

[akoK]

Dr.SHIFRO - это посредники которые покупают дешифровщик, а после перепродают вам.