Перейти к содержанию

Шифровальщик

SouL_77335
 Поделиться

Рекомендуемые сообщения

SouL_77335

SouL_77335

Опубликовано
Опубликовано

Здравствуйте! 

Каким-то образом, скорее всего через почту, подхватили шифровальщик... Что делать не можем понять. На сервере зашифровался целый диск. На нем хранилось, к счастью, только мультимедиа.

 

Заметили случайно. Зашли картинку скачать, а там все файлы с припиской ...[Vulcanteam@CYBERFEAR.COM].RYK после расширения файла.

В каждой папке создались файлы: "RyukReadMe.txt", "hrmlog1"

Файлы предоставить не могу, так как сервер на данный момент отключили

 

Текст редми файла:

Your network has been penetrated.

All files on each host in the network have been encrypted with a strong algorithm.

Backups were either encrypted
Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.

We exclusively have decryption software for your situation.
More than a year ago, world experts recognized the impossibility of deciphering by any means except the original decoder.
No decryption software is available in the public.
Antiviruse companies, researchers, IT specialists, and no other persons cant help you decrypt the data.

DO NOT RESET OR SHUTDOWN - files may be damaged.
DO NOT DELETE readme files.

To confirm our honest intentions.Send 2 different random files and you will get it decrypted.
It can be from different computers on your network to be sure that one key decrypts everything.
2 files we unlock for free

To get info (decrypt your files) contact us at
RyanRinse@mailfence.com
or
RyanRinse@firemail.de

You will receive btc address for payment in the reply letter

Ryuk

No system is safe

Зашифрованные файлы - образец.rar

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

4 минуты назад, SouL_77335 сказал:

В каждой папке создались файлы: "RyukReadMe.txt", "hrmlog1"

Файлы предоставить не могу, так как сервер на данный момент отключили

Тогда либо ждём когда включат, либо снимите жёсткий диск и подключите к другому компьютеру. Эти файлы нужны.

SouL_77335

SouL_77335

Опубликовано
  • Автор
Опубликовано

@Sandor И так сервер запустили, файлы получил. На всякий случай так же закину оригиналы тех 3-х зашифрованных файлов

Оригиналы зашифрованных файлов.rar Шифровальщик - сопровождающие файлы.rar

 

Так же вот еще один файл обнаружили странный

Доп найденый вирФайл.rar

Sandor

Sandor

Опубликовано
Опубликовано

Оригиналы не нужны.

Прикрепите, если возможно, несколько других зашифрованных. Файл hrmlog1 из той же папки, где лежат эти другие, тоже упакуйте и прикрепите.

Sandor

Sandor

Опубликовано
Опубликовано

Логи нужно переделать, запустив утилиту от имени администратора:

Цитата

Запущено с помощью GololobovAl (ВНИМАНИЕ: Пользователь не является Администратором) на SERVER1

 

К сожалению, похоже у вас другая модификация, для которой пока нет расшифровки.

Советую обратиться в тех-поддержку (конечно, при наличии лицензии).

SouL_77335

SouL_77335

Опубликовано
  • Автор
Опубликовано

@Sandor Вот логи от имени Админа

 

А вот это инфа не очень...

Цитата

К сожалению, похоже у вас другая модификация, для которой пока нет расшифровки.

 

ЛогиFarbar_admin.rar

Sandor

Sandor

Опубликовано
Опубликовано

Раз у вас установлен Kaspersky Small Office Security, то обратиться в поддержку следует через Company Account.

 

Скриптом мы только закроем разрешения на порты.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
FirewallRules: [{FBF6273C-95FF-4136-A027-97E6061CB64A}] => (Allow) LPort=475
FirewallRules: [{B3E657EE-0DFD-4D46-80FB-32A59880CE90}] => (Allow) LPort=475
FirewallRules: [{0769273E-2FC0-4032-9DEC-E1C9D8EC8E74}] => (Allow) LPort=10501
FirewallRules: [{6162D001-8247-41B0-B380-2D39DD665E77}] => (Allow) LPort=9502
FirewallRules: [{B15C0B80-0B47-4AF1-93FA-DE5C363E195B}] => (Allow) LPort=9502
FirewallRules: [{4EFB497B-47F2-41F6-BA8E-2E4499A6E267}] => (Allow) LPort=9502
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Если будете обращаться в ТП, сообщите результат здесь, пожалуйста.

SouL_77335

SouL_77335

Опубликовано
  • Автор
Опубликовано

Скрипт выполнять мне не разрешают. Там наш сетевик в ручном режиме с портами разбирался сам. А вот в Касперский попробую обратиться, если найду учетные данные)))

 

Запустили Касперского, был отключен по каким-то неведомым мне причинам, возможно был отключен при атаке, и вот что он нашел.

Вас интересуют данные файлы? Если да, то как наиболее аккуратно их можно выловить и отправить?

Kasperski_Screen_1.jpg

Kasperski_Screen_2.jpg

  • Like (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано
Только что, SouL_77335 сказал:

был отключен по каким-то неведомым мне причинам

Пароли на админские учётки меняйте, скорее всего были взломаны.

 

Файлы вероятно понадобятся тех-поддержке. Их нужно будет упаковать с паролем. А пока попробуйте их загрузить на www.virustotal.com и покажите ссылку на результат анализа.

SouL_77335

SouL_77335

Опубликовано
  • Автор
Опубликовано

Админки не тронуты. Был взломан пользователь, отключенная учетка "Vlasova", вычислили очень просто. Аккаунт был отключен и по факту пользователь у нас давно не работает, вчера же был зафиксирован разовый вход под ее учеткой. Это же подтверждает расположение вирусного файла

Вот лог проверки Каспера

 

Отчет о проверке Каспер 21-02-23.txt

Sandor

Sandor

Опубликовано
Опубликовано

Вредонос виден ещё в некоторых местах:

Цитата

 

C:\ProgramData\RYUKID

C:\ProgramData\ryuk.exe

 

 

А прикрепите, пожалуйста, этот файл:

Цитата

C:\Users\Vlasova\Desktop\hrmlog2

 

SouL_77335

SouL_77335

Опубликовано
  • Автор
Опубликовано

Я не могу зайти по пути с первого скриншота (С:\User\Vlasova\Desktop\5-NS.exe) - не хватает у меня прав

А другие 2 файла помещены в карантин, тоже не знаю где он находится и как файлы из него достать.

Главный админ не решается доставать даже NetScaner для загрузки на www.virustotal.com... Пока буду ждать указаний от него. 

Sandor

Sandor

Опубликовано
Опубликовано

Лог файл есть ещё по такому пути:

Цитата

C:\ProgramData\hrmlog2

 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vasia15
      вирус похож на шифровальщик
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • Slimens
      ЧП зашифровало сервера может кто подскажет что делать формат файлов JWEYZP
      Автор Slimens
      ЧП зашифровало сервера может кто подскажет что делать формат файлов JWEYZP есть расшифратор от этого или нет?
    • WiziR
      Ryuk вернулся
      Автор WiziR
      Приветствую!
      Пришли с праздников и вот обнаружили сообщение при входе  систему о шифрации.

       
      Your network has been penetrated.
      All files on each host in the network have been encrypted with a strong algorithm. 
      Backups were either encrypted
      Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
      We exclusively have decryption software for your situation. 
      More than a year ago, world experts recognized the impossibility of deciphering by any means except the original decoder. 
      No decryption software is available in the public.
      Antiviruse companies, researchers, IT specialists, and no other persons cant help you decrypt the data. 
      DO NOT RESET OR SHUTDOWN - files may be damaged.
      DO NOT DELETE readme files. 
      To confirm our honest intentions.Send 2 different random files and you will get it decrypted. 
      It can be from different computers on your network to be sure that one key decrypts everything.
      2 files we unlock for free
      To get info (decrypt your files) contact us at 
      dectokyo@onionmail.org
      or
      dectokyo@cock.li , TELEGRAM : @tokyosupp
      You will receive btc address for payment in the reply letter 
      Ryuk
      No system is safe
       
      В корне диска папка с именем !!1 в нем следующее сообщение $Risen_Note.txt
       
      RisenNote :

      Read this text file carefully.
      We have penetrated your whole network due some critical security issues.
      We have encrypted all of your files on each host in the network within strong algorithm.
      We have also Took your critical data such as docs, images, engineering data, accounting data, customers and ...
          And trust me, we exactly know what should we collect in case of NO corporation until the end of the deadline we WILL leak or sell your data,
          the only way to stop this process is successful corporation.
      We have monitored your Backup plans for a whileand they are completely out of access(encrypted)
      The only situation for recovering your files is our decryptor,
          there are many middle man services out there whom will contact us for your caseand add an amount of money on the FIXED price that we gave to them,
          so be aware of them.
      Remember, you can send Upto 3 test files for decrypting, before making payment,
          we highly recommend to get test files to prevent possible scams.
      In order to contact us you can either use following email :
      Email address : gotchadec@onionmail.org
      Or If you weren't able to contact us whitin 24 hours please Email : Yamaguchigumi@cock.li, TELEGRAM:@GotchaDec
      Leave subject as your machine id : C5TEDZHBWD
      If you didn't get any respond within 72 hours use our blog to contact us, 
      therefore we can create another way for you to contact your cryptor as soon as possible.
      TOR BLOG : https://cqqzfmdd2fwshfyic6srf3fxjjigiipqdygosk6sdifstrbtxnm5bead.onion
       
      Ниже все вложения с логами сканирования FRST.rar
      Зашифрованные файлы в архиве FRST1.rar
      Просим помощи в расшифровке содержимого наших данных.
      !!1.rar hrmlog1.rar FRST.rar FRST1.rar
    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      Автор Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • nuk-nuk
      Зашифровали файлы и очистили яндекс диск =(
      Автор nuk-nuk
      Добрый день. Зашифровали файлы и судя по истории браузера в ручную зашли на яндекс диск и очистили там все. Подскажите есть ли решение? Так же очень интересно узнать предположение, как это стало возможно? Никаких сторонних скачиваний или установок не было =(
       
      исходные.rar Зашифрованные.rar Addition.txt FRST.txt
×
×
  • Создать...