Шифровальщик файлов в XTBL

[Samiels]

Здравствуйте.

Оригинальным не буду.

Имею домашний сервер(файловый) для хранения различного рода контента и информации, чтоб под руками не путалось и перед глазами не маячило на рабочей машине.

Помимо этого, сервер ещё и скачивает/раздаёт торренты, серфит рекламные сайты(чтоб что-то капало.).

Как и положено серверу - у него нет ни клавы, ни мыши, ни монитора - чисто коробка с дисками внутри, но чтобы что-то на нём делать, использую RDP, это бывает редко, но всё же.

Сегодня утром проходя мимо системника обнаружил нездоровую активность дисков и подключился посмотреть, что же там твоирться... На рабочем столе обнаружил двадцать файлов рэдми в текствовом исполнении и надпись на фоне рабочего стола, что мои файлы зашифрованы.

Текст в рэдми такой же, как и у "коллег по несчастью":

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
E38E006E98C52063443B|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
E38E006E98C52063443B|0
to e-mail address decode010@gmail.com or decode1110@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

 

В директориях обнаружил файлы примерно такого XXr1WFlEnJIX4d7teGNWlxkn5aCZuTw21GtbExCnan8=.xtbl характера.

Прогнал ремувал тулз, расшифровщиками, кюрейтом и всем подобным - результат отрицательный, кроме того ремувал нашёл два заражённых файла в док энд сеттингс/все юзеры/апп дата/.... где-то там и грохнул их. rectordecryptor находит зашифрованные, но расшифровать не может. По оценкам зараза успела загадить около 70-ти процентов файлов на всех дисках, а это солидное количество файов и объем данных - вроде как не детские шутки, тем более, что там есть очень нужные документы для работы, нужно сдавать отчёты в налоговую, а они зашифрованы.

Вот такое вот веселье.

 

P.S. С такой заразой уже приходилось встречатся лет десять - двенадцать назад. Спасла антивируска Касперского(отправил зашифрованный файл, обновил базы и прогнал всю систему). Работала зараза аналогично этой, за небольшим исключением - переименовывала файлы в вид "зашифрованный файл №_" и рядом создавала текстовый с таким же именем, содержание было примерно "этот файл зашифрованный и MD5 хэш". Или что-то типа того.

CollectionLog-2015.06.04-10.45.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Samiels]

Сделано.

В архиве FRST и Addition? а также сразу прикрепляю CleanLNK и AdwCleaner файлы..

FRST_&_Addition.txt.zip

AdwCleanerR0.txt

ClearLNK-04.06.2015_18-13.log

Изменено 4 июня, 2015 пользователем Samiels

[mike 1]

А вас просили делать лог AdwCleaner?

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
HKLM\...\Run: [Client Server Runtime Subsystem] => C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe [53248 2015-06-03] (Microsoft Corporation)
S1 xzexjqvf; \?\C:\WINDOWS\system32\drivers\xzexjqvf.sys [X]
2015-06-04 05:27 - 2015-06-04 05:27 - 05292054 _____ C:\Documents and Settings\Администратор\Application Data\E8B60EB4E8B60EB4.bmp
2015-06-03 12:49 - 2015-06-03 12:49 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:B755D674

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

 

 

[Samiels]

Прошу прощения, конечно... Просто решил сделать все логи сразу, исходя из прочитанного материала в соседних темах, дабы ускорить процесс.

Больше не буду...

Вот лог после фикса.

Fixlog.txt

[mike 1]

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Folder: C:\FRST\Quarantine

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

 

 

[Samiels]

Вуаля

Fixlog.txt

Изменено 4 июня, 2015 пользователем Samiels
Карантин в теме.

[mike 1]

Логи в порядке. С расшифровкой не поможем. Пароль от RDP смените на более стойкий. 

[Samiels]

OK. Thanks.

Ну а может лаборатория Касперского всё же сможет разобраться с криптографией, как сделали дюжину лет назад по файлу/файлам, которые зашифрованы? Ведь алгоритм скорее всего аналогичен на всех версиях заразы.

[mike 1]

 

 

Ведь алгоритм скорее всего аналогичен на всех версиях заразы.

Вы сильно ошибаетесь. Здесь используется RSA-шифрование, а оно достаточное стойкое. 

 

 

 

Ну а может лаборатория Касперского всё же сможет разобраться с криптографией, как сделали дюжину лет назад по файлу/файлам, которые зашифрованы?

У вас дома есть несколько суперкомпьютеров по мощности равные тому компьютеру, который установлен в МГУ? Вы оплатите мощности, которые нужны для брута RSA? 

[Samiels]

Ну что такое RSA мне известно и не по-наслышке, но как же в прошлый раз его сбрутили, причём всего за пару часов. Тот опыт стал для меня незабываемым и очень понравилась оперативность сотрудников компании, все проблемы решили в течении 3-х - 4-х часов.

Вот поэтому и спросил.

[mike 1]

Расшифровка возможна в том случае, если имеются слабые места в шифраторе. Судя по тому, что до сих пор не могут расшифровать, то тут слабых мест нет. 

[Samiels]

Если кому интересно что пишут в ответном письме(написал падонкам ради интереса, посмотреть на их скорость реакции):

"Стоимость дешифровки 5000р. Пришлите 1 файл и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены.
В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было."