Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

С 9-10 утра 23.01.2023 числа обнаружен сетевой вирус шифровальщик azadi33@keemail.me

2 компа заражены. 

зашифровал все файлы, в т.ч. файловые базы данных на сервере 1С.

т.е. ПК пользователя, у пользователя зашифровал и пролез по RDP сеансу на сервер и всё зашифровал на сервере.

Огромная просьба помочь расшифровать базы данных:

Текст сообщения

How To Restore Files

ATTENTION!
At the moment, your system is not protected.
We can fix itand restore files.
To get started, send a file to decrypt trial.
You can trust us after opening the test file.
To restore the system write to both : azadi33@smime.ninja and azadi33@keemail.me
Your Decryption ID: 23868595F549B397

 

 

 

 

 

FRST.zip 1Cv7.DD.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip 1SBLOB.CDX.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip

Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, On-Lite сказал:

Addition.txt файла нет

Значит переделайте логи Farbar, предварительно отметив галочкой соотв. пункт.

 

Пока пробуем определить тип вымогателя.

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    R2 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2022-07-05] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\User\AppData\Roaming\How To Restore Files.txt
    2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\User\AppData\LocalLow\How To Restore Files.txt
    2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\User\AppData\Local\How To Restore Files.txt
    2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\Kassa\AppData\Roaming\How To Restore Files.txt
    2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\Kassa\AppData\LocalLow\How To Restore Files.txt
    2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\Kassa\AppData\Local\How To Restore Files.txt
    2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\GlavBuh\AppData\Roaming\How To Restore Files.txt
    2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\GlavBuh\AppData\LocalLow\How To Restore Files.txt
    2023-01-23 11:24 - 2023-01-23 11:24 - 000000303 _____ C:\Users\GlavBuh\AppData\Local\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\Downloads\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\Documents\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\Desktop\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\User\AppData\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\Downloads\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\Documents\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\Desktop\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\Kassa\AppData\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\Downloads\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\Documents\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\Desktop\How To Restore Files.txt
    2023-01-23 11:23 - 2023-01-23 11:23 - 000000303 _____ C:\Users\GlavBuh\AppData\How To Restore Files.txt
    2023-01-23 11:22 - 2023-01-23 15:41 - 000000031 _____ C:\WINDOWS\directx.sys
    2023-01-23 11:22 - 2023-01-23 11:22 - 000041472 _____ C:\WINDOWS\svchost.com
    2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Users\How To Restore Files.txt
    2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\ProgramData\How To Restore Files.txt
    2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Program Files\How To Restore Files.txt
    2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Program Files\Common Files\How To Restore Files.txt
    2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\Program Files (x86)\How To Restore Files.txt
    2023-01-23 11:22 - 2023-01-23 11:22 - 000000303 _____ C:\How To Restore Files.txt
    2023-01-23 11:22 - 2022-07-05 08:24 - 000000000 ____D C:\Program Files\RDP Wrapper
    HKLM\...\exefile\shell\open\command: C:\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ
    FirewallRules: [{70089F50-7F5D-46B6-A578-6FD140D68A58}] => (Allow) LPort=3389
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Сделал к говорилось. При перезагрузки сервера больше зайти не получается. 

Пингуется, но служба RDP не  поднимается.

Уже завтра будем подключать монитор к серверу и смотреть что с системой.

 

Ссылка на сообщение
Поделиться на другие сайты

Спасибо!

Прикрепите, пожалуйста, ещё пару-тройку зашифрованных образцов обычных документов, офисных, картинок или текстовых файлов.

Ссылка на сообщение
Поделиться на другие сайты

Нет, у нас такой информации нету.  Картинки тоже удалились все. 

Есть приложение LibreOffice 7.1, Microsoft Edge

есть несколько документов, таблиц, отчётов, файлов xml

прикрепил Send.zip

 

 

msedge.exe.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip Send.zip soffice.exe.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • AleS
      От AleS
      Добрый день!
      Если есть возможность помочь по данному шифровальщику, готов предоставить логи, файлы и требования, если поможет могу даже предоставить исходные файлы не в зашифрованном виде?
       
      Прикрепляю:
      2 файла
      файл с требованием
      Логи  Farbar Recovery Scan Tool
       
      Исполняемый файл не нашёл, комп доступен в первозданном виде отключенный от сети.
      DARKKUR1.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • leonardgtr
      От leonardgtr
      Доброго дня.
      Поймали шифровальщик, зашифровал подряд все файлы вне зависимости от расширения (т.е. не только текстовые). Соответственно, не работают не только документы, но и все программные продукты на компьютере.
      Названия файлов рандомные, в названии файла не оставлено оригинального наименования файлов, расширения файлов тоже рандомные. В корнях локальных дисков созданы папки KeyForFiles, в ней - файлы Key.secret (приложил в архиве Secret key). На одном из компьютеров, где файлы не были зашифрованы до конца (видимо, не успел закончить работу) обнаружили в ней также файл DecryptionKey, в нем значение 0 (приложил в тот же архив). Примеры зашифрованных файлов - в архиве Desktop.
      Нашли исходные exe-файлы шифровальщика - в архиве Desktop лежит exe-файл из папки net, которую создал шифровальщик. В архиве nonet - другой exe-файл, из соответствующей папки, с другого зараженного компьютера. Файла в папке net на втором компьютере уже не нашли - видимо, удалился. Также на зараженных компьютерах был найден файл kavremovr - видимо, отключающий Касперского, но его прикрепить не могу - весит больше 5 Мб.
      Также прикладываю отчеты Farbar с одного из зашифрованных компьютеров и текстовый документ с требованием контакта по поводу выкупа. Очень рассчитываем на вашу помощь.
      Addition.txt Enmity-Unlock-Guide.txt FRST.txt Secret key.7z Desktop.7z nonet.7z
    • Shk
      От Shk
      Здравствуйте! Поймали эту гадость вероятнее всего через RDP. Зашифровала все до чего дотянулась.
      Диск с файлами вытащили, систему переставили. Подскажите пожалуйста, можно их расшифровать ?
      Virus.rar
    • Andrey-irk
      От Andrey-irk
      Здравствуйте. Предположительно с рабочего компьютера через РДП зашифровались файлы на сервере. Все базы 1с, бэкапы, текстовые файлы, изображения, архивы и др.. DR WEB сообщил, что это Trojan.Encoder.37400 и помочь с ним пока что не могут. Есть ли способ расшифровки?
      Addition.txt FRST.txt virus_pass_123321.zip
    • Batriv
      От Batriv
      Все файлы на компьютере были зашифрованы, в том числе бекапы сервера и сайта. Вот сообщения от злоумышленника:
      [[=== Cylance Ransomware ===]]
      [+] What's happened?
      All your files are encrypted, and currently unsable, but you need to follow our instructions. otherwise, you cant return your data (NEVER).
      [+] What guarantees?
      Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.
      To check the ability of returning files, we decrypt one file for free. That is our guarantee.
      If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. time is much more valuable than money.
      [+] How to cantact with us?
      Please write an email to: D4nte@onionmail.org and Backup@cyberfear.com
       
      !!! DANGER !!!
      DON'T try to change files by yourself, DON'T use any third party software for restoring your data or antivirus solutions - its may entail damage of the private key and, as result, The Loss all data.
      !!! !!! !!!
      ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.
      !!! !!! !!!
       
      Прикрепляю зашифрованный файл.
      fmyKDt7uBYs.jpg.Cylance.7z
×
×
  • Создать...