Перейти к содержанию

Вирус-шифровальщик @tutanota.com


Рекомендуемые сообщения

Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том А на диске, там 2 файла: bootsect.bak и scream.txt. В scream.txt содержание такое: 

              ~~~ Scream V1.1~~~            
>>> What happened?
    We encrypted and stolen all of your files.
    We use AES and ECC algorithms.
    Nobody can recover your files without our decryption service.

>>> How to recover?
    We are not a politically motivated group and we want nothing more than money.
    If you pay, we will provide you with decryption software and destroy the stolen data.

>>> What guarantees?
    You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
    If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

>>> How to contact us?
   Our email address: Scream_@tutanota.com
   In case of no answer within 24 hours, contact to this email: De_Scream@tutanota.com
   Write your personal ID in the subject of the email.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
                        >>>>> SCREAM 1.1 <<<<<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

>>> Warnings!
  - Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
   They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.
  - Do not hesitate for a long time. The faster you pay, the lower the price.
  - Do not delete or modify encrypted files, it will lead to problems with decryption of files.

Подскажите, пожалуйста, что делать?

Данных как-будто нет. 
Заранее спасибо!
 

Ссылка на комментарий
Поделиться на другие сайты

1. Логи анализа системы прикрепил

2. Зашифрованных файлов нет

3. Файл с требованиями прикрепил

4. Файл шифровальщика вроде не нашел

Addition.txt FRST.txt SCREAM.txt

Ссылка на комментарий
Поделиться на другие сайты

20 часов назад, Vlad21 сказал:

Данных как-будто нет.

 

19 часов назад, Vlad21 сказал:

Зашифрованных файлов нет

 

Поясните - они были и сейчас отсутствуют?

Ссылка на комментарий
Поделиться на другие сайты

Да, все было, а сейчас отсутствуют. Связался с взломщиками через эл. почту, говорят якобы данные у них на сервере, в подтверждение говорят будто бы у нас там была 1С. Но у нас 1С не было. 

Ссылка на комментарий
Поделиться на другие сайты

По одной только записке трудно определить тип вымогателя.

В текущем состоянии в системе видны несколько серьёзных уязвимостей. Если не планируете её переустановку, можем попробовать исправить.

 

  • Не отключайте сеть.
  • Выделите следующий код:
    Start::
    HKU\S-1-5-21-1984363676-1101406014-2877031099-500\...\MountPoints2: {09f6ca52-33ac-11e6-896f-000e0c855d17} - F:\setup.exe
    Startup: C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\360急救箱回访.lnk [2023-09-30]
    ShortcutTarget: 360急救箱回访.lnk -> C:\Program Files\360\360sd\firstaid\Fix\YuW7vZ5Y2.exe (Нет файла)
    Task: {0E6D339A-9BD7-46B8-8DF0-F6A8373FB617} - System32\Tasks\Microsoft\Windows\RAC\BackUpEvent => C:\Windows\SysWOW64\lsass.exe  (Нет файла) <==== ВНИМАНИЕ
    R3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2023-09-10] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S3 dsmainsrv; "C:\Program Files\360\360sd\deepscan\dsmain.exe" /srv [X]
    2023-09-10 10:37 - 2023-09-10 10:37 - 000000000 ____D C:\Program Files\RDP Wrapper
    2023-09-10 10:35 - 2023-09-10 10:35 - 002373632 _____ (TODO: <Company name>) C:\Windows\system32\rwmmr.exe
    2023-09-10 10:35 - 2023-09-10 10:35 - 002373632 _____ (TODO: <Company name>) C:\Windows\system32\mmr.exe
    2023-09-10 10:35 - 2023-09-10 10:35 - 001460224 _____ (Stas'M Corp.) C:\Windows\system32\rwi.exe
    2023-09-10 10:30 - 2023-09-30 13:57 - 000000000 ___HD C:\Users\administrator\AppData\Roaming\svchost
    FirewallRules: [{6EBD743E-AB74-48DD-8D4C-CA7C83FED1D9}] => (Allow) C:\Windows\SysWOW64\lsass.exe => Нет файла
    FirewallRules: [{B7124485-8BF0-4C89-9FF3-ED168F42E234}] => (Allow) LPort=3389
    FirewallRules: [{88872F9A-B7A7-4DB1-A9A8-E36E46ECF3E4}] => (Allow) C:\Program Files\360\360sd\360sdupd.exe => Нет файла
    FirewallRules: [{A64F9FD9-FA5C-4602-9AD3-44678FDE7549}] => (Allow) C:\Program Files\360\360sd\360sdupd.exe => Нет файла
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    cmd: winmgmt /salvagerepository
    cmd: winmgmt /verifyrepository
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную. После перезагрузки соберите новые логи FRST.txt и Addition.txt

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

У нас было 2 сервера: один доступен извне, второй должен был быть доступен только с первого по внутренней сети, но так получилось, что почему-то 2-й сервер был доступен извне и именно его взломали, изменили пароль и зашифровали (или удалили данные). Мы всегда заходили на 1-й сервер извне по rdp, а на 2-й по rdp с первого сервера. На 2-м сервере системные администраторы нашего хостера сбросили пароль, установили новый, далее мы попросили администраторов закрыть доступ на 2-й извне, они это сделали, потом долго настраивали, чтобы 2-й сервер был доступен по rdp по внутренней сети, наконец настроили. После этого мы запустили FRST (FRST64) (исправить) с описанным выше кодом, перезагрузили сервер и все: сервер загрузился, но он недоступен по rdp и теперь администраторы нашего хостера никак не могут настроить внутреннюю сеть для доступа на 2-й сервер по rdp. Поэтому мы не можем продолжить работу на проблемном сервере, т.е. собрать новые логи FRST.txt и Addition.txt. Подскажите, пожалуйста, может из-за того кода так произошло и если да, то какой код запустить, чтобы администраторы смогли наконец настроить.

Ссылка на комментарий
Поделиться на другие сайты

На этом всё. Пароли администраторов смените для верности. Если требуется подключение по RDP, прячьте его за VPN.

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Еще вопрос: у нас на жестком диске были тома С и D, а после взлома еще и том А появился и он по-прежнему есть, на нем текстовый файл с требованиями шифровальщиков и еще файл BOOTSECT.BAK.Scream_@tutanotacomSCREAM (я его переименовал в bootsect.txt чтобы можно было сюда прикрепить). 

Может тогда данные и не исчезли, а что-то с загрузочным сектором надо сделать? Или уже не вернуть данные? Если так, то что делать с жестким диском - переформатировать и по-новой систему поставить?

BOOTSECT.txt

Ссылка на комментарий
Поделиться на другие сайты

18 часов назад, Vlad21 сказал:

Или уже не вернуть данные?

Скорее всего так.

 

18 часов назад, Vlad21 сказал:

переформатировать и по-новой систему поставить?

Да, это будет правильное решение.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • scopsa
      От scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
    • Gikboer
      От Gikboer
      Здравствуйте, подскажите пожалуйста. На компьютер попал вирус-шифровальщик и теперь все файлы стали называться с расширением "datastore@cyberfear". Вирус скорее-всего называется - Phobos.
    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • Forrestem
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • Radik_Gilmanov
      От Radik_Gilmanov
      все файлы зашифрованы с расширением wbmVRwkmD, нужна помощь в расшифровке 
      А.Даутов.rar FRST_17-10-2024 23.55.28.txt
       
×
×
  • Создать...