toleg 0 Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 Зашифрованы данные на файловом сервере. Антивируса на этой машине нет. Коммерческая лицензия стоит на терминальном сервере. Файлы имеют вид - "C:\something_ne@india.com_314376382E31434C2E63666C". Сообщение от злоумышленников лежит в файле "HOW DECRIPT FILES.hta", в каждой папке и содержит: "Your files are encrypted! Your personal ID 34362E3134362E3230382E3233393A33333837405345525645522D4D4F534845565CD0BED0B1D0BCD0B5D0BD3BD0BED0B1D0BCD0B5D0BD Discovered a serious vulnerability in your network security. No data was stolen and no one will be able to do it while they are encrypted. For you we have automatic decryptor and instructions for remediation. How to get the automatic decryptor: 1) 0.5 BTC Buy BTC on one of these sites: https://localbitcoins.com https://www.coinbase.com https://xchange.cc bitcoin adress for pay: 1MiQ5YNjoEkwjjhSB8Ec93E5npcGAyi3qP Send 0.5 BTC 2) Send screenshot of payment tosomething_ne@india.com. In the letter include your personal ID(look at the beginning of this document). 3) You will receive automatic decryptor and all files will be restored * To be sure in getting the decryption, you can send one file(less than 10MB) tosomething_ne@india.com In the letter include your personal ID(look at the beginning of this document). But this action will increase the cost of the automatic decryptor on 0.1 btc... Attention! No Payment = No decryption You really get the decryptor after payment Do not attempt to remove the program or run the anti-virus tools Attempts to self-decrypting files will result in the loss of your data Decoders other users are not compatible with your data, because each user's unique encryption key If you can't send a message, try to write with the other e-mail address, for example register mail.india.com" Также был обнаружен процесс: "C:\Program Files (x86)\AIMP4\rutserv.exe" CollectionLog-2017.02.27-14.04.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
toleg 0 Опубликовано 27 февраля, 2017 Автор Share Опубликовано 27 февраля, 2017 Готово FRST.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 По логам сервера (если они не были почищены) проверьте, что запускалось после удаленного входа по RDP. Пароль от RDP смените. Что в папке C:\Confused ? Ссылка на сообщение Поделиться на другие сайты
toleg 0 Опубликовано 27 февраля, 2017 Автор Share Опубликовано 27 февраля, 2017 События журнала приложений в файле "События.zip" В файле "virus.zip" папка "C:\Confused", пароль от архива virus. Там файл с требованием, папка "folder" и в ней один из зашифрованных файлов. Папка была создана в момент шифрования. Проникли через пользователя "обмен", У него пароль сменил, ограничил в правах, и вообще отключил. Есть странные папки "C:\Program Files\ASRF" и "C:\Program Files (x86)\AIMP4". В них "rutserv.exe" и еще куча всего странного. Обе были скрыты и ограничен доступ всем кроме "СИСТЕМА". События.zip virus.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 Да, в папке был файл шифратора под названием smsss.exe Вам журнал событий удобнее посмотреть самому. Может там указано, откуда он попал к Вам. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 1 марта, 2017 Share Опубликовано 1 марта, 2017 Пришлите образцы шифрованных файлов указанных типов - ориентироваться на окончание имени файла 2E706E67 (.png) 2E646F6378 (.docx) 2E6A7067 (.jpg) Ссылка на сообщение Поделиться на другие сайты
Dmitry Starikov 0 Опубликовано 3 марта, 2017 Share Опубликовано 3 марта, 2017 К сведению У Вас нет прав давать советы в данном разделе. Я в курсе ситуации и не просто так просил у пострадавших файлы. Ссылка на сообщение Поделиться на другие сайты
toleg 0 Опубликовано 17 марта, 2017 Автор Share Опубликовано 17 марта, 2017 Пришлите образцы шифрованных файлов указанных типов - ориентироваться на окончание имени файла 2E706E67 (.png) 2E646F6378 (.docx) 2E6A7067 (.jpg) Примеры файлов: Примеры.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 17 марта, 2017 Share Опубликовано 17 марта, 2017 Вам поможет https://download.bleepingcomputer.com/demonslay335/CryptConsoleDecrypter.zip 1 Ссылка на сообщение Поделиться на другие сайты
toleg 0 Опубликовано 17 марта, 2017 Автор Share Опубликовано 17 марта, 2017 Есть вариант где есть и зашифрованные файлы, и оригиналы, может поможет. Вам поможет https://download.bleepingcomputer.com/demonslay335/CryptConsoleDecrypter.zip вот что ответила программа которую вы отправили: "Selected directory: C:\Примеры Starting decryption... [+] File: C:\Примеры\something_ne@india.com_494D475F303030312E6A7067 [~] File can be renamed, but not decrypted. Original name: IMG_0001.jpg" Я так понимаю нужен некий ключ Пример-Оригинал.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 17 марта, 2017 Share Опубликовано 17 марта, 2017 Ожидайте Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 17 марта, 2017 Share Опубликовано 17 марта, 2017 Проверьте ЛС 1 Ссылка на сообщение Поделиться на другие сайты
Judas37 0 Опубликовано 6 июня, 2018 Share Опубликовано 6 июня, 2018 Проверьте ЛС а можно мне тоже ключик от этого дешифровщика, имена расшифровал правильно и пишет ту же ошибку что и у товарища выше Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 6 июня, 2018 Share Опубликовано 6 июня, 2018 @Judas37, создавайте свою тему, а не бесцеремонно вторгайтесь в чужую. Выполняйте правила раздела, присылайте файл с логами Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения