Вирус-шифровальщик @tutanota.com

4 октября, 2023

Добрый день! Через RDP на наш сервер проник вирус-шифровальщик, появился новый том А на диске, там 2 файла: bootsect.bak и scream.txt. В scream.txt содержание такое:

~~~ Scream V1.1~~~
>>> What happened?
We encrypted and stolen all of your files.
We use AES and ECC algorithms.
Nobody can recover your files without our decryption service.

>>> How to recover?
We are not a politically motivated group and we want nothing more than money.
If you pay, we will provide you with decryption software and destroy the stolen data.

>>> What guarantees?
You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

>>> How to contact us?
Our email address: Scream_@tutanota.com
In case of no answer within 24 hours, contact to this email: De_Scream@tutanota.com
Write your personal ID in the subject of the email.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>>>> SCREAM 1.1 <<<<<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

>>> Warnings!
- Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.
- Do not hesitate for a long time. The faster you pay, the lower the price.
- Do not delete or modify encrypted files, it will lead to problems with decryption of files.

Подскажите, пожалуйста, что делать?

Данных как-будто нет.
Заранее спасибо!

4 октября, 2023

Здравствуйте!

Прочтите и выполните Порядок оформления запроса о помощи

4 октября, 2023

1. Логи анализа системы прикрепил

2. Зашифрованных файлов нет

3. Файл с требованиями прикрепил

4. Файл шифровальщика вроде не нашел

Addition.txt FRST.txt SCREAM.txt

5 октября, 2023

20 часов назад, Vlad21 сказал:

Данных как-будто нет.

19 часов назад, Vlad21 сказал:

Зашифрованных файлов нет

Поясните - они были и сейчас отсутствуют?

6 октября, 2023

Да, все было, а сейчас отсутствуют. Связался с взломщиками через эл. почту, говорят якобы данные у них на сервере, в подтверждение говорят будто бы у нас там была 1С. Но у нас 1С не было.

6 октября, 2023

По одной только записке трудно определить тип вымогателя.

В текущем состоянии в системе видны несколько серьёзных уязвимостей. Если не планируете её переустановку, можем попробовать исправить.

Не отключайте сеть.

Выделите следующий код:

Start::
HKU\S-1-5-21-1984363676-1101406014-2877031099-500\...\MountPoints2: {09f6ca52-33ac-11e6-896f-000e0c855d17} - F:\setup.exe
Startup: C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\360急救箱回访.lnk [2023-09-30]
ShortcutTarget: 360急救箱回访.lnk -> C:\Program Files\360\360sd\firstaid\Fix\YuW7vZ5Y2.exe (Нет файла)
Task: {0E6D339A-9BD7-46B8-8DF0-F6A8373FB617} - System32\Tasks\Microsoft\Windows\RAC\BackUpEvent => C:\Windows\SysWOW64\lsass.exe  (Нет файла) <==== ВНИМАНИЕ
R3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2023-09-10] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S3 dsmainsrv; "C:\Program Files\360\360sd\deepscan\dsmain.exe" /srv [X]
2023-09-10 10:37 - 2023-09-10 10:37 - 000000000 ____D C:\Program Files\RDP Wrapper
2023-09-10 10:35 - 2023-09-10 10:35 - 002373632 _____ (TODO: <Company name>) C:\Windows\system32\rwmmr.exe
2023-09-10 10:35 - 2023-09-10 10:35 - 002373632 _____ (TODO: <Company name>) C:\Windows\system32\mmr.exe
2023-09-10 10:35 - 2023-09-10 10:35 - 001460224 _____ (Stas'M Corp.) C:\Windows\system32\rwi.exe
2023-09-10 10:30 - 2023-09-30 13:57 - 000000000 ___HD C:\Users\administrator\AppData\Roaming\svchost
FirewallRules: [{6EBD743E-AB74-48DD-8D4C-CA7C83FED1D9}] => (Allow) C:\Windows\SysWOW64\lsass.exe => Нет файла
FirewallRules: [{B7124485-8BF0-4C89-9FF3-ED168F42E234}] => (Allow) LPort=3389
FirewallRules: [{88872F9A-B7A7-4DB1-A9A8-E36E46ECF3E4}] => (Allow) C:\Program Files\360\360sd\360sdupd.exe => Нет файла
FirewallRules: [{A64F9FD9-FA5C-4602-9AD3-44678FDE7549}] => (Allow) C:\Program Files\360\360sd\360sdupd.exe => Нет файла
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную. После перезагрузки соберите новые логи FRST.txt и Addition.txt

Подробнее читайте в этом руководстве.

9 октября, 2023

У нас было 2 сервера: один доступен извне, второй должен был быть доступен только с первого по внутренней сети, но так получилось, что почему-то 2-й сервер был доступен извне и именно его взломали, изменили пароль и зашифровали (или удалили данные). Мы всегда заходили на 1-й сервер извне по rdp, а на 2-й по rdp с первого сервера. На 2-м сервере системные администраторы нашего хостера сбросили пароль, установили новый, далее мы попросили администраторов закрыть доступ на 2-й извне, они это сделали, потом долго настраивали, чтобы 2-й сервер был доступен по rdp по внутренней сети, наконец настроили. После этого мы запустили FRST (FRST64) (исправить) с описанным выше кодом, перезагрузили сервер и все: сервер загрузился, но он недоступен по rdp и теперь администраторы нашего хостера никак не могут настроить внутреннюю сеть для доступа на 2-й сервер по rdp. Поэтому мы не можем продолжить работу на проблемном сервере, т.е. собрать новые логи FRST.txt и Addition.txt. Подскажите, пожалуйста, может из-за того кода так произошло и если да, то какой код запустить, чтобы администраторы смогли наконец настроить.

10 октября, 2023

Наконец настроили.

Новые логи FRST.txt и Addition.txt прикрепил.

Addition.txt Fixlog.txt FRST.txt

10 октября, 2023

На этом всё. Пароли администраторов смените для верности. Если требуется подключение по RDP, прячьте его за VPN.

Читайте Рекомендации после удаления вредоносного ПО

10 октября, 2023

Еще вопрос: у нас на жестком диске были тома С и D, а после взлома еще и том А появился и он по-прежнему есть, на нем текстовый файл с требованиями шифровальщиков и еще файл BOOTSECT.BAK.Scream_@tutanotacomSCREAM (я его переименовал в bootsect.txt чтобы можно было сюда прикрепить).

Может тогда данные и не исчезли, а что-то с загрузочным сектором надо сделать? Или уже не вернуть данные? Если так, то что делать с жестким диском - переформатировать и по-новой систему поставить?

BOOTSECT.txt

11 октября, 2023

18 часов назад, Vlad21 сказал:

Или уже не вернуть данные?

Скорее всего так.

18 часов назад, Vlad21 сказал:

переформатировать и по-новой систему поставить?

Да, это будет правильное решение.

Вирус-шифровальщик @tutanota.com

Рекомендуемые сообщения

Vlad21

Sandor

Vlad21

Sandor

Vlad21

Sandor

Vlad21

Vlad21

Sandor

Vlad21

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum