Перейти к содержанию

Trojan.Encoder.35534, зашифрован сервер с 1С, прошу помощи.


Рекомендуемые сообщения

Вадим Бутаков

Добрый день, прошу помощи в расшифровке, зашифрован сервер с 1С.

 

Письмо мошенников дублирую текстом т.к. нет исходника.

 

Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
Your data is encrypted
Your decryption ID is 5-ujLaxrW7IOQ8ub6WiEirPnYu-1T8IrAYx9nJCipxY*SOPHOSANTIVIRUS
Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
The only method of recovering files is to purchase decrypt tool and unique key for you.
If you want to recover your files, write us
1) TOX messenger (fast and anonymous)
https://tox.chat/download.html
Install qtox
Press sign up
Create your own name
Press plus
Put there our tox ID:
E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
And add me/write message
2)ICQ - @SOPHOSANTIVIRUS
3)SKYPE - SOPHOSANTIVIRUS DECRYPTION
Contact us soon, because those who don't have their data leaked in our press release blog and the price they'll have to pay will go up significantly.
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software - it may cause permanent data loss. 
We are always ready to cooperate and find the best way to solve your problem. 
The faster you write - the more favorable conditions will be for you. 
Our company values its reputation. We give all guarantees of your files decryption.

FRST.txt для касперского.rar Addition.txt

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Файлы шифровальщика (кроме записки о выкупе) найдены при сканировании системы? можете добавить в архив с паролем virus, загрузить на облачный диск, и дать ссылку на скачивание в ЛС?

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Вадим Бутаков
1 час назад, safety сказал:

Файлы шифровальщика (кроме записки о выкупе) найдены при сканировании системы? можете добавить в архив с паролем virus, загрузить на облачный диск, и дать ссылку на скачивание в ЛС?

Сканирование системы вирус не нашло, название вируса определили специалисты доктор веб, написав название и сказав что они еще не знают как расшифровать. Файла вируса нет.

Ссылка на сообщение
Поделиться на другие сайты

Судя по записке о выкупе, это Mimic Ransomware, по которому нет расшифровки файлов без приватного ключа сейчас, и в течение полутора лет с момента его появления. Сохраните важные зашифрованные документы на отдельный носитель, возможно расшифровка будет доступна в будущем.

 

Если необходима очистка системы добавьте образ автозапуска в uVS из зашифрованной системы.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Вадим Бутаков
20 часов назад, safety сказал:

Судя по записке о выкупе, это Mimic Ransomware, по которому нет расшифровки файлов без приватного ключа сейчас, и в течение полутора лет с момента его появления. Сохраните важные зашифрованные документы на отдельный носитель, возможно расшифровка будет доступна в будущем.

 

Если необходима очистка системы добавьте образ автозапуска в uVS из зашифрованной системы.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Прикрепляю файл образа автозапуска.

ROP_2024-06-02_15-52-20_v4.15.3v.7z

Ссылка на сообщение
Поделиться на другие сайты

Деинсталлируйте данную программу.

SpyHunter 5

 

по очистке системы:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы.

 

;uVS v4.15.3v [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\AUTORUN.INF
delall %SystemDrive%\VOYAGER\VOYAGER.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCDJKKEOFANOJCDOLAAKKCKKMFCJEJLIJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHJDKFKDKOKPHFPLOIIDDAKJOKNDINFGB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIEPOEGKAOELJNBHAGABAKJODGPFNIIMO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMFHCMDONHEKJHFBJMEACDJBHLFGPJABP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EXTENSION-UPDATES.OPERA.COM/API/OMAHA/UPDATE/?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPEBFCEHMDEDOGNDHLCACAFJAACKNBCM%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\PUB\XMAS.EXE
apply
QUIT

Далее,

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Ссылка на сообщение
Поделиться на другие сайты
Вадим Бутаков
15 часов назад, safety сказал:

Деинсталлируйте данную программу.

SpyHunter 5

 

по очистке системы:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы.

 


;uVS v4.15.3v [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\AUTORUN.INF
delall %SystemDrive%\VOYAGER\VOYAGER.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCDJKKEOFANOJCDOLAAKKCKKMFCJEJLIJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHJDKFKDKOKPHFPLOIIDDAKJOKNDINFGB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIEPOEGKAOELJNBHAGABAKJODGPFNIIMO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMFHCMDONHEKJHFBJMEACDJBHLFGPJABP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EXTENSION-UPDATES.OPERA.COM/API/OMAHA/UPDATE/?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPEBFCEHMDEDOGNDHLCACAFJAACKNBCM%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\PUB\XMAS.EXE
apply
QUIT

Далее,

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

 

Добрый день, добавляю файл.

2024-06-03_10-47-58_log.txt

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Mimic Ransomware активен уже в течение полутора лет. ЗА это время не было ни одного известного случая расшифровки файлов дешифраторами, созданными вирлабами.

Восстановление данных возможно из бэкапов.

 

Пока что единственным решением может быть принятие мер безопасности, против новых атак шифровальщиков.

 

Quote

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

 

1 hour ago, flowcm said:

Та же беда, только на машине, которую взломали остались запущены программы тех кто взломал 

@flowcm,

Создайте новую тему в данном разделе. добавьте все необходимые файлы и логи по правилам.

Ссылка на сообщение
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Marauders666
      От Marauders666
      Приветствую всех! Прошу о помощи, залетел шифровальщик. Путем поиска нашел что возможно расшифровать с помощью RannohDecryptor, но он мне пишет:Can't initialize on pair
      Файлы которые нашел прикладываю. (Я так понимаю софт через который это все сделали и оригинал файла xx .txt я подумал может быть это ключ..
       
    • Эдуард Autofresh
      От Эдуард Autofresh
      Зашифровались все файлы и компьютеры, которые имели общую сетевую папку с зараженным компьютером (3 штуки). На первом зараженном компьютере добавился новый пользователь, и разделился жесткий диск. На первом зараженном компьютере диспетчер задач не открывается. Файлы зараженные представлены в архиве.  Файл шифровальщика не нашел.
       



      FRST.rar
    • Anix
      От Anix
      Отключил винт и подцепил его к виртуалке,
      нашёл лог работы заразы.
      Может поможет в создании лекарства
      temp.rar
    • whoamis
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • Дмитрий С1990
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
×
×
  • Создать...