Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] Шифровальщик gold84@cock.li

gold84@cock.li .gold

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 11

#1 OFF   vsu

vsu

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 11 Октябрь 2019 - 21:35

Здравствуйте. 10.10.2019 случилась беда, 4 сервера и пару пк были взломаны, и все файлы зашифрованы. файлы имеют вид: "3a1wGcQyBjW9Xt5BpNoHe5b4PF0V5k.gold" Также было зашифровано 2 внешних хранилища куда производились бекапы. на одном медленном хранилище удалили все и просто заполнили пока не кончилось место файлами вида я.txt, я1.txt и так пока не кончилось место... Следов самого шифровальщика не обнаружено, KVRT и Dr.Web CureIt! ничего не нашли.

При заражении на всех серверах работал Kaspersky Endpoint Security под политикой и свежими обновлениями. на 2х компьютерах стоял microsoft security essentials тоже регулярно обновляющийся, на все сервера и 2 пк был доступ из вне через RDP, и по сети, прикладываю фаилы после проверки 1 пк.

 

Прошу помочь с расшифровкой, если есть такая возможность....

 

Письмо от злоумышленников так же приложил.

 

Заранее спасибо!

Прикрепленные файлы


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 11 Октябрь 2019 - 22:37

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   vsu

vsu

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 11 Октябрь 2019 - 23:00

готово, могу предоставить доступ по rdp или другому по, на этот компьютер

Прикрепленные файлы

  • Прикрепленный файл  FRST.zip   17,9К   скачиваний 1

  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 12 Октябрь 2019 - 00:04

C:\Users\VSU\Desktop\YqhR2iT=TFCUJoLXLZC+TszW.gold прикрепите в архиве к следующему сообщению.

Скорее всего у Вас шифровальщик Scarab и шансов нет на расшифровку.
Пароль от RDP смените на более сложный.

1. Выделите следующий код:
Start::
CreateRestorePoint:
Task: {1A3AEFDF-55D6-4540-A22D-CDE4BA6750F7} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {2BD05BA6-988D-4BD3-A9CD-9A39F80AF524} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> No File <==== ATTENTION
Task: {5B184694-64C3-4633-94C5-945B3FA561D6} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> No File <==== ATTENTION
Task: {9F54B95F-5096-4803-AE61-E9B3AC5B616D} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> No File <==== ATTENTION
Task: {A8B8BCA5-88D1-419D-B416-913B6B654284} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {D21F6024-191F-4454-BBBC-09A650DA2549} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
2019-10-10 04:17 - 2019-10-10 04:34 - 000003331 _____ C:\Users\VSU\Documents\Инструкция по расшифровке файлов.TXT
2019-10-10 04:17 - 2019-10-10 04:17 - 000003333 _____ C:\Users\VSU\Downloads\Инструкция по расшифровке файлов.TXT
2019-10-10 04:17 - 2019-10-10 04:17 - 000003333 _____ C:\Users\VSU\Documents\Инструкция по расшифровке файлов.TXT.{BF62425B-112F-3683-5BE8-63EB06E56F66}
2019-10-10 04:16 - 2019-10-10 04:16 - 000003333 _____ C:\Users\VSU\Инструкция по расшифровке файлов.TXT
2019-10-10 04:16 - 2019-10-10 04:16 - 000003333 _____ C:\Users\VSU\Desktop\Инструкция по расшифровке файлов.TXT
2019-10-10 04:16 - 2019-10-10 04:16 - 000003333 _____ C:\Users\User\Downloads\Инструкция по расшифровке файлов.TXT
2019-10-10 04:16 - 2019-10-10 04:16 - 000003333 _____ C:\Users\User\Documents\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\Все пользователи\Documents\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\User\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\User\Desktop\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\Public\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\Public\Documents\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\admin\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\admin\Downloads\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\admin\Documents\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\Users\admin\Desktop\Инструкция по расшифровке файлов.TXT
2019-10-10 04:15 - 2019-10-10 04:15 - 000003333 _____ C:\ProgramData\Documents\Инструкция по расшифровке файлов.TXT
FirewallRules: [TCP Query User{2CD85137-FAC3-4EB1-AE9F-63C9F5EDC421}C:\users\user\appdata\local\microsoft\windows\temporary internet files\content.ie5\w1tprsrf\winbox.exe] => (Allow) C:\users\user\appdata\local\microsoft\windows\temporary internet files\content.ie5\w1tprsrf\winbox.exe No File
FirewallRules: [UDP Query User{44DB6018-6394-4E7D-AF8F-BDE7ACA68F48}C:\users\user\appdata\local\microsoft\windows\temporary internet files\content.ie5\w1tprsrf\winbox.exe] => (Allow) C:\users\user\appdata\local\microsoft\windows\temporary internet files\content.ie5\w1tprsrf\winbox.exe No File
FirewallRules: [TCP Query User{F9762FD3-93D5-467A-9C17-500BF3E79AA3}C:\users\user\desktop\winbox.exe] => (Allow) C:\users\user\desktop\winbox.exe No File
FirewallRules: [UDP Query User{660A7D59-A7FF-4A60-84D4-A0660280C519}C:\users\user\desktop\winbox.exe] => (Allow) C:\users\user\desktop\winbox.exe No File
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   vsu

vsu

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 12 Октябрь 2019 - 02:01

готово есть смысл это же проделывать на других пк? это вам даст какую-то доп информацию ?

Прикрепленные файлы


  • 0

#6 OFF   vsu

vsu

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 12 Октябрь 2019 - 06:59

нашел пару: оригинальный фаил, шифрованный, и письмо с кодом и требованием. приложил в архиве.

Прикрепленные файлы


  • 0

#7 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 12 Октябрь 2019 - 07:22


нашел пару: оригинальный фаил, шифрованный
ничем не поможет. Расшифровки нет, как я и предполагал.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#8 OFF   vsu

vsu

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 12 Октябрь 2019 - 07:26

стоит ли ожидать в дальнейшем дешифратора ?


  • 0

#9 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 12 Октябрь 2019 - 07:32

Маловероятно.


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#10 OFF   vsu

vsu

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 12 Октябрь 2019 - 07:33

спасибо!


  • 0

#11 OFF   BT1

BT1

    Новичок

  • Новички
  • Cообщений: 1

Отправлено Вчера, 16:48

Как вы решили проблему?


спасибо!

 

стоит ли ожидать в дальнейшем дешифратора ?

Как Вы решили проблему?


  • 0

#12 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено Вчера, 19:34

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных