Шифровальщик something_ne@india.com

[toleg]

Зашифрованы данные на файловом сервере. Антивируса на этой машине нет. Коммерческая лицензия стоит на терминальном сервере.

Файлы имеют вид - "C:\something_ne@india.com_314376382E31434C2E63666C".

Сообщение от злоумышленников лежит в файле "HOW DECRIPT FILES.hta", в каждой папке и содержит:

 

"Your files are encrypted!

Your personal ID

34362E3134362E3230382E3233393A33333837405345525645522D4D4F534845565CD0BED0B1D0BCD0B5D0BD3BD0BED0B1D0BCD0B5D0BD

Discovered a serious vulnerability in your network security. 

No data was stolen and no one will be able to do it while they are encrypted.

For you we have automatic decryptor and instructions for remediation.

How to get the automatic decryptor:

1) 0.5 BTC

  Buy BTC on one of these sites: 

https://localbitcoins.com 

https://www.coinbase.com 

https://xchange.cc 

  bitcoin adress for pay:

 

  1MiQ5YNjoEkwjjhSB8Ec93E5npcGAyi3qP

  Send 0.5 BTC

2) Send screenshot of payment tosomething_ne@india.com. In the letter include your personal ID(look at the beginning of this document).

 

3) You will receive automatic decryptor and all files will be restored

 

* To be sure in getting the decryption, you can send one file(less than 10MB) tosomething_ne@india.com In the letter include your personal ID(look at the beginning of this document). But this action will increase the cost of the automatic decryptor on 0.1 btc... 

 

Attention!

No Payment = No decryption 

You really get the decryptor after payment 

Do not attempt to remove the program or run the anti-virus tools 

Attempts to self-decrypting files will result in the loss of your data 

Decoders other users are not compatible with your data, because each user's unique encryption key 

If you can't send a message, try to write with the other e-mail address, for example register mail.india.com"

 

Также был обнаружен процесс: "C:\Program Files (x86)\AIMP4\rutserv.exe"

 

CollectionLog-2017.02.27-14.04.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[toleg]

Готово

FRST.zip

[thyrex]

По логам сервера (если они не были почищены) проверьте, что запускалось после удаленного входа по RDP. Пароль от RDP смените.

 

Что в папке C:\Confused ?

[toleg]

События журнала приложений в файле "События.zip"

В файле "virus.zip" папка "C:\Confused", пароль от архива virus. Там файл с требованием, папка "folder" и в ней один из зашифрованных файлов. Папка была создана в момент шифрования.

Проникли через пользователя "обмен", У него пароль сменил, ограничил в правах, и вообще отключил. Есть странные папки "C:\Program Files\ASRF" и "C:\Program Files (x86)\AIMP4". В них "rutserv.exe" и еще куча всего странного. Обе были скрыты и ограничен доступ всем кроме "СИСТЕМА". 

События.zip

virus.zip

[thyrex]

Да, в папке был файл шифратора под названием smsss.exe

 

Вам журнал событий удобнее посмотреть самому. Может там указано, откуда он попал к Вам.

[thyrex]

Пришлите образцы шифрованных файлов указанных типов - ориентироваться на окончание имени файла

2E706E67 (.png)

2E646F6378 (.docx)

2E6A7067 (.jpg)

[Dmitry Starikov]

К сведению

У Вас нет прав давать советы в данном разделе. Я в курсе ситуации и не просто так просил у пострадавших файлы.

[toleg]

Пришлите образцы шифрованных файлов указанных типов - ориентироваться на окончание имени файла

2E706E67 (.png)

2E646F6378 (.docx)

2E6A7067 (.jpg)

 

Примеры файлов:

Примеры.zip

[thyrex]

Вам поможет https://download.bleepingcomputer.com/demonslay335/CryptConsoleDecrypter.zip

[toleg]

Есть вариант где есть и зашифрованные файлы, и оригиналы, может поможет.

Вам поможет https://download.bleepingcomputer.com/demonslay335/CryptConsoleDecrypter.zip

 

вот что ответила программа которую вы отправили:

 

"Selected directory: C:\Примеры

Starting decryption...

 

[+] File: C:\Примеры\something_ne@india.com_494D475F303030312E6A7067

[~] File can be renamed, but not decrypted. Original name: IMG_0001.jpg"

 

Я так понимаю нужен некий ключ

Пример-Оригинал.zip

[thyrex]

Ожидайте

[thyrex]

Проверьте ЛС

[Judas37]

Проверьте ЛС

 а можно мне тоже ключик от этого дешифровщика, имена расшифровал правильно и пишет ту же ошибку что и у товарища выше

[thyrex]

@Judas37, создавайте  свою тему,  а не бесцеремонно вторгайтесь в чужую. Выполняйте правила раздела, присылайте файл с логами