Перейти к содержанию

Вирус-шифровальщик @tutanota.com

Vlad21
 Поделиться

Рекомендуемые сообщения

Vlad21

Vlad21

Опубликовано
Опубликовано

Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том А на диске, там 2 файла: bootsect.bak и scream.txt. В scream.txt содержание такое: 

              ~~~ Scream V1.1~~~            
>>> What happened?
    We encrypted and stolen all of your files.
    We use AES and ECC algorithms.
    Nobody can recover your files without our decryption service.

>>> How to recover?
    We are not a politically motivated group and we want nothing more than money.
    If you pay, we will provide you with decryption software and destroy the stolen data.

>>> What guarantees?
    You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
    If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

>>> How to contact us?
   Our email address: Scream_@tutanota.com
   In case of no answer within 24 hours, contact to this email: De_Scream@tutanota.com
   Write your personal ID in the subject of the email.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
                        >>>>> SCREAM 1.1 <<<<<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

>>> Warnings!
  - Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
   They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.
  - Do not hesitate for a long time. The faster you pay, the lower the price.
  - Do not delete or modify encrypted files, it will lead to problems with decryption of files.

Подскажите, пожалуйста, что делать?

Данных как-будто нет. 
Заранее спасибо!
 

Vlad21

Vlad21

Опубликовано
  • Автор
Опубликовано

1. Логи анализа системы прикрепил

2. Зашифрованных файлов нет

3. Файл с требованиями прикрепил

4. Файл шифровальщика вроде не нашел

Addition.txt FRST.txt SCREAM.txt

Sandor

Sandor

Опубликовано
Опубликовано
20 часов назад, Vlad21 сказал:

Данных как-будто нет.

 

19 часов назад, Vlad21 сказал:

Зашифрованных файлов нет

 

Поясните - они были и сейчас отсутствуют?

Vlad21

Vlad21

Опубликовано
  • Автор
Опубликовано

Да, все было, а сейчас отсутствуют. Связался с взломщиками через эл. почту, говорят якобы данные у них на сервере, в подтверждение говорят будто бы у нас там была 1С. Но у нас 1С не было. 

Sandor

Sandor

Опубликовано
Опубликовано

По одной только записке трудно определить тип вымогателя.

В текущем состоянии в системе видны несколько серьёзных уязвимостей. Если не планируете её переустановку, можем попробовать исправить.

 

  • Не отключайте сеть.
  • Выделите следующий код: 
    Start::
HKU\S-1-5-21-1984363676-1101406014-2877031099-500\...\MountPoints2: {09f6ca52-33ac-11e6-896f-000e0c855d17} - F:\setup.exe
Startup: C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\360急救箱回访.lnk [2023-09-30]
ShortcutTarget: 360急救箱回访.lnk -> C:\Program Files\360\360sd\firstaid\Fix\YuW7vZ5Y2.exe (Нет файла)
Task: {0E6D339A-9BD7-46B8-8DF0-F6A8373FB617} - System32\Tasks\Microsoft\Windows\RAC\BackUpEvent => C:\Windows\SysWOW64\lsass.exe  (Нет файла) <==== ВНИМАНИЕ
R3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2023-09-10] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S3 dsmainsrv; "C:\Program Files\360\360sd\deepscan\dsmain.exe" /srv [X]
2023-09-10 10:37 - 2023-09-10 10:37 - 000000000 ____D C:\Program Files\RDP Wrapper
2023-09-10 10:35 - 2023-09-10 10:35 - 002373632 _____ (TODO: <Company name>) C:\Windows\system32\rwmmr.exe
2023-09-10 10:35 - 2023-09-10 10:35 - 002373632 _____ (TODO: <Company name>) C:\Windows\system32\mmr.exe
2023-09-10 10:35 - 2023-09-10 10:35 - 001460224 _____ (Stas'M Corp.) C:\Windows\system32\rwi.exe
2023-09-10 10:30 - 2023-09-30 13:57 - 000000000 ___HD C:\Users\administrator\AppData\Roaming\svchost
FirewallRules: [{6EBD743E-AB74-48DD-8D4C-CA7C83FED1D9}] => (Allow) C:\Windows\SysWOW64\lsass.exe => Нет файла
FirewallRules: [{B7124485-8BF0-4C89-9FF3-ED168F42E234}] => (Allow) LPort=3389
FirewallRules: [{88872F9A-B7A7-4DB1-A9A8-E36E46ECF3E4}] => (Allow) C:\Program Files\360\360sd\360sdupd.exe => Нет файла
FirewallRules: [{A64F9FD9-FA5C-4602-9AD3-44678FDE7549}] => (Allow) C:\Program Files\360\360sd\360sdupd.exe => Нет файла
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную. После перезагрузки соберите новые логи FRST.txt и Addition.txt

Подробнее читайте в этом руководстве.

Vlad21

Vlad21

Опубликовано
  • Автор
Опубликовано

У нас было 2 сервера: один доступен извне, второй должен был быть доступен только с первого по внутренней сети, но так получилось, что почему-то 2-й сервер был доступен извне и именно его взломали, изменили пароль и зашифровали (или удалили данные). Мы всегда заходили на 1-й сервер извне по rdp, а на 2-й по rdp с первого сервера. На 2-м сервере системные администраторы нашего хостера сбросили пароль, установили новый, далее мы попросили администраторов закрыть доступ на 2-й извне, они это сделали, потом долго настраивали, чтобы 2-й сервер был доступен по rdp по внутренней сети, наконец настроили. После этого мы запустили FRST (FRST64) (исправить) с описанным выше кодом, перезагрузили сервер и все: сервер загрузился, но он недоступен по rdp и теперь администраторы нашего хостера никак не могут настроить внутреннюю сеть для доступа на 2-й сервер по rdp. Поэтому мы не можем продолжить работу на проблемном сервере, т.е. собрать новые логи FRST.txt и Addition.txt. Подскажите, пожалуйста, может из-за того кода так произошло и если да, то какой код запустить, чтобы администраторы смогли наконец настроить.

Vlad21

Vlad21

Опубликовано
  • Автор
Опубликовано

Еще вопрос: у нас на жестком диске были тома С и D, а после взлома еще и том А появился и он по-прежнему есть, на нем текстовый файл с требованиями шифровальщиков и еще файл BOOTSECT.BAK.Scream_@tutanotacomSCREAM (я его переименовал в bootsect.txt чтобы можно было сюда прикрепить). 

Может тогда данные и не исчезли, а что-то с загрузочным сектором надо сделать? Или уже не вернуть данные? Если так, то что делать с жестким диском - переформатировать и по-новой систему поставить?

BOOTSECT.txt

Sandor

Sandor

Опубликовано
Опубликовано
18 часов назад, Vlad21 сказал:

Или уже не вернуть данные?

Скорее всего так.

 

18 часов назад, Vlad21 сказал:

переформатировать и по-новой систему поставить?

Да, это будет правильное решение.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sater123
      Вирус шифровальщик
      Автор sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • Vital888
      Вирус шифровальщик
      Автор Vital888
      Здравствуйте. Помогите пожалуйста. На компьютере с утра обнаружил зашифрованные файлы. 
       
    • dgluhov
      Вирус-шифровальщик
      Автор dgluhov
      Зашифрованы все файлы на компьютере. Имена файлов типа: z52weovl6gu8t9c-Mail(itservicerec@zohomail.eu)-ID(89547642786312).trfsqa. Расширения разные
      Обнаружил папку DecryptionKey на каждом из дисков. Утилиту FIRST.exe запустить смог только с диска восстановления
      Логи во вложении
      DecryptionKey.zip FRST.zip
    • ppasoft
      Вирус шифровальщик
      Автор ppasoft
      Взломали пароль к РДП, заразили вирусом-шифровальщика 2 компьютера.
      На обоих стоял Касперский KIS 12.
      На рабочем столе взломанного аккаунта нашел файл вируса(пароль от архива 123), также там есть еще какие то файлы с названием 5-NS new.exe, с размером около 300мб, вероятно 
      использовалось для установки вирусов. На диске где установлен windows была папка Decryption key, ее тоже приложил в архив файлы, возможно поможет. Также архиве приложен текст вымогателя, логи программы 
      FRST.
      virus.rar Файлы.rar
    • Elgfinby
      Вирус шифровальщик
      Автор Elgfinby
      Здравствуйте, поймали вирус-шифровальщик,  появился такой файл:
      Привет!
      Все файлы зашифрованы.
      Попытка расшифровать файлы приведет к их повреждению.
      Я могу помочь вам за определенную плату.
      Ваш ID ********.
      Свяжитесь со мной по электронной почте — cryptoexpertoo@hotmail.com.

      Если ID нужен, то могу отправить. Так же в файле сообщение ещё на нескольких языках

      Также, если нужно, могу прислать зашифрованные файлы.

      На рабочем столе заставка не поменялась, стоит Kaspersky Internet Security 21.3.10.391(k), быстрая проверка вирусов не находит
×
×
  • Создать...